У нас есть подстановочный сертификат ssl для *.domain.com и есть веб-сайт с sub1.sub2.domain.com
Safari 4.0.4 на MacOsx выдает ошибку сертификата (предположительно из-за подстановочной интерпретации), в то время как Safari 4 на окнах не работает.
также, т.е. поведение смешивается в лучшем случае, некоторые ie8 не отображают ошибку сертификата, а некоторые - нет.
Что вызывает это странное поведение в Safari и IE?
Подстановочный сертификат SSL для *. example.net будет соответствовать sub.example.net, но не sub.sub.example.net.
Из RFC 2818:
Соответствие выполняется с использованием правил соответствия, указанных в RFC2459. Если в одном экземпляре присутствует более одного идентификатора данного типа сертификат (например, более одного имени dNSName, совпадение в любом множества считается приемлемым.) Имена могут содержать подстановочный знак символ
*, который считается совпадающим с любым единственным доменным именем компонент или фрагмент компонента. Например,*.a.comсоответствуетfoo.a.com, но неbar.foo.a.com.f*.comсоответствуетfoo.com, но неbar.com.
Если вам нужен сертификат подстановки, содержащий *.domain.com сайты, а также работать с sub1.sub2.domain.com или другим доменом, например *.domain2.com, вы можете решить это с помощью одного сертификата подстановки с тем, что называемое расширение альтернативного имени субъекта (SAN) для каждого из других поддоменов. Сертификат SAN предназначен не только для нескольких конкретных имен хостов, но и для записей подстановочных знаков.
Например, *.domain.com, sub1.sub2.domain.com и *.domain2.com будут иметь общее имя *.domain.com, тогда вы добавили бы альтернативное имя объекта *.domain2.com и *.sdom2.domain.com. Это может зависеть от Центра сертификации в отношении того, как они будут взимать плату (или нет) за сертификат, но есть некоторые там, где это предложение доступно. Кроме того, поддержка SAN довольно широко распространена в пространстве веб-браузера. Лучшим примером этого использования является настоящий сертификат Google SSL. Откройте аккаунт Google и просмотрите его сертификат SSL, вы увидите, что он работает на *.google.com, *.youtube.com, *.gmail.com и еще больше, где они указаны как альтернативные имена субъектов.
Подстановочный знак применяется только к первой части (слева) вашего домена. Таким образом, вам понадобится сертификат для *.sub2.domain.com
Если вы имели в виду, что у вас есть sub1.domain.com и sub2.domain.com, тогда он должен работать.