Chứng chỉ SSL có chứa hai ký tự đại diện có hoạt động không (đặc biệt là trên Let's Encrypt)?

Tôi muốn bao gồm hai ký tự đại diện trong chứng chỉ SSL (sẽ được) ký bởi Let's Encrypt: *.*.thost3.de. Chứng chỉ này có khớp với bất kỳ tên máy chủ nào khớp với quy tắc đó không (ví dụ: ví dụ.example.thost3.de, xin chào.world.thost3.de) và Let's Encrypt có thể chấp nhận các ký tự đại diện như vậy tồn tại trong các chứng chỉ mà họ đã ký không?

Không, điều này KHÔNG NÊN (theo nghĩa RFC là "KHÔNG NÊN") hoạt động, vì được ghi lại trong RFC 6125 (Đại diện và xác minh dịch vụ ứng dụng dựa trên miền Nhận dạng trong Cơ sở hạ tầng khóa công khai trên Internet bằng X.509 (PKIX) Các chứng chỉ trong bối cảnh bảo mật tầng vận chuyển (TLS)):

Nếu khách hàng đối sánh mã định danh tham chiếu với mã được trình bày
mã định danh có phần tên miền DNS chứa ký tự đại diện
ký tự '*', áp dụng các quy tắc sau:

1. Khách hàng KHÔNG NÊN cố gắng so khớp một mã định danh được trình bày trong đó ký tự đại diện bao gồm một nhãn khác với nhãn nhãn ngoài cùng bên trái (ví dụ: không khớp với bar.*.example.net).

2. Nếu ký tự đại diện là ký tự duy nhất của nhãn ngoài cùng bên trái trong mã định danh được trình bày, thì máy khách KHÔNG NÊN so sánh chống lại bất kỳ thứ gì ngoại trừ nhãn ngoài cùng bên trái của mã định danh tham chiếu (ví dụ: *.example.com sẽ khớp với foo.example.com nhưng không khớp bar.foo.example.com hoặc example.com).

[...]

Đặt hai cái này lại với nhau:

• bạn không thể có ký tự đại diện ở nơi khác ngoài phần ngoài cùng bên trái (được phân tách bằng dấu chấm) của chứng chỉ: ký tự đại diện bên trong không hợp lệ.
• bạn không thể có chứng chỉ ký tự đại diện khớp với phần nhãn bổ sung (tức là: được phân tách bằng dấu chấm) ở bên trái: một lần nữa, điều đó có nghĩa là nếu một ký tự đại diện hợp lệ được sử dụng, thì không có phần nào có phần bổ sung bên trái có thể khớp (vì vậy xin chào.world. thost3.de không khớp với chứng chỉ *.thost3.de).

Những gì bạn có thể làm là cấp chứng chỉ có nhiều phần SAN có thể có ký tự đại diện (hợp lệ). Nhưng tôi không chắc chắn rằng bạn có thể chấp nhận điều này bởi Let's Encrypt hay không.

CHỈNH SỬA: *.stackexchange.com được ký bởi Let's Encrypt với nhiều SAN có ký tự đại diện.

Ví dụ:

$ openssl s_client -connect stackexchange.com:443 </dev/null 2>/dev/null| openssl x509 -noout -text | grep -A1 'Tên thay thế chủ đề X509v3' | tr',' '\n'
            Tên thay thế chủ đề X509v3: 
                DNS:*.askubuntu.com
 DNS:*.blogoverflow.com
 DNS:*.mathoverflow.net
 DNS:*.meta.stackexchange.com
 DNS:*.meta.stackoverflow.com
 DNS:*.serverfault.com
 DNS:*.sstatic.net
 DNS:*.stackexchange.com
 DNS:*.stackoverflow.com
 DNS:*.stackoverflow.email
 DNS:*.superuser.com
 DNS:askubfox.com
 […]