Бывают ли SSL сертификаты сразу на 2 уровня поддоменов?

Question

[Александр]

Собираемся заводить много поддоменов для региональных отделений школы.
будут поддомены вида:
kursk.school.ru
is.kursk.guitardo.ru
и по другим регионам. Всего несколько десятков штук.

В reg.ru мне написали, что придется покупать на каждый поддомен отдельный сертификат. И даже если брать Wildcard, на *.school.ru он будет защищать только поддомены на 1 уровень вглубь. То есть
kursk.school.ru, sochi.school.ru,
а если делать поддомены is.kursk.school.ru, то нужно брать отдельно сертификат на *.kursk.school.ru

Может быть есть в природе сертификаты, пусть гораздо более дорогие, но которые действуют хотя бы на два уровня вглубь?
То есть покупаем один сертификат для *.school.ru и защищаем сразу все поддомены всех уровней :-)

1. Существует такое в природе?
2. Если нет, как ещё можно оптимизировать защиту большого количества поддоменов?

Answer 1

[bkosun]

Сертификат Wildcard SSL для *.domain.com будет действовать для sub.domain.com, но не sub.sub.domain.com

Это сделано в соответствии с RFC 2818:
https://tools.ietf.org/html/rfc2818#section-3.1

It is not possible to get a wildcard for an Extended Validation Certificate.[7] A workaround could be to add every virtual host name in the Subject Alternative Name (SAN) extension,[8][9] the major problem being that the certificate needs to be reissued whenever a new virtual server is added. (See Transport Layer Security § Support for name-based virtual servers for more information.)

https://en.wikipedia.org/wiki/Wildcard_certificate

Используйте Multi-Domain (SAN) SSL:
https://www.digicert.com/multi-domain-ssl/

Как это работает можно посмотреть здесь:
https://www.sslshopper.com/ssl-checker.html#hostna...

Так же Вы можете запросить дубликат существующего Wildcard сертификата с альтернативными именами.
https://www.digicert.com/ssl-support/wildcard-san-...

Answer 2

[ky0]

Может быть есть в природе сертификаты, пусть гораздо более дорогие, но которые действуют хотя бы на два уровня вглубь?
То есть покупаем один сертификат для *.school.ru и защищаем сразу все поддомены всех уровней :-)

Есть сертификаты гораздо менее дорогие, которые действуют на конкретный домен (или поддомены), легко и автоматически выпускаются/обновляются и при грамотной настройке вообще не требуют практически никакого внимания живого человека. А все эти потуги выпустить Сертификат Всевластия - имхо, довольно печальны с т. з. безопасности (много мест потенциальной компрометации ключа), оптимизации расходов (платим фактически за воздух, при наличии-то альтернативы, технически не уступающей) и в 2018 году выглядят не очень.

Answer 3

[CityCat4]

Заведите свой CA - и делайте что хотите. Плюс - бесплатно. Минус - требует мозгов, знания того, что делаешь и установки корневого сертификата на каждого клиента.

IMHO, если у Вас есть денег на покупку school.ru - то наверное и на админа, разбирающегося в вопросах сертификатов найдется. Хотя конечно же это не мое дело :)

Можно, конечно попробовать добавлять все вторые уровни в SAN, но я так не делал никогда, потому что на корпоративном уровне свой CA неизмеримо проще.