Quelles sont les limitations des certificats Wildcard ou OmniDomaine ?

• L'étoile ne remplace que les caractères 0 à 9 et A à Z (autrement dit c'est équivalent à [0-9A-Z]+)
• Le certificat wildcard fonctionne bien pour IIS sauf que les points ne sont pas pris en compte dans l'étoile par Internet Explorer. Ceci est un choix de Microsoft et de la RFC 2818. Les outils de la famille Mozilla étaient plus tolérants que la norme, jusqu'à Firefox 3.0.13 (NSS 3.12.3) qui rejoint le fonctionnement communément admis par les autres navigateurs.
  Voir http://support.microsoft.com/kb/258858
  
  
• Les certificats Thawte Wilcard et Geotrust True BusinessID Wildcard n'acceptent qu'un format pour le CN. Il doit être de la forme *.exemple.com. L'étoile doit être le premier caractère à gauche et doit être suivi par un point. De ce fait, le nom exemple.com ne fonctionnerait pas avec un certificat *.exemple.com car même si l'étoile était vide, cela donnerait .exemple.com
  
  Les certificats X509 Omnidomaine TBS, X509 Omnidomaine SGC TBS, Comodo Wildcard et GlobalSign OV Wildcard sécurisent avec et sans le sous-domaine.
  
  
• Il existe une limitation de ISA Server 2004 qui permet d'accepter des requêtes HTTPS sur un certificat wildcard mais l'ISA server lui-même ne sait pas initier de connexion HTTPS sur un serveur IIS possédant un certificat wildcard. Cela fonctionne en ISA Server 2006. (ceci est documenté par Microsoft ici).
  
  
• le produit Microsoft LCS (live communication server) qui utilise des certificats SSL ne permet pas l'utilisation des certificats wildcard.
  
  
• Activesync ne marche pas avec des Wildcard, sauf avec Microsoft Windows Mobile 6 (WM 3, 4 et 5 ne marchent pas avec des Wildcard). Il faut un certificat classique.
  
  
• Certains terminaux mobiles (téléphones portables) ne supportent pas le caractére *, et donc générent une erreur au niveau de la vérification du certificat
  
  
• Windows Mobile 5 ne supporte pas les certificats Wildcard (aucune marque). Par contre Windows Mobile 6 les supporte (Voir Site Microsoft)
  
  
• Si vous demandez un Wildcard depuis un serveur IIS 5 ou 6, vous obtiendrez un certificat dont le champ CN est encodé en UTF8. Soyez conscient que Windows 98 ne supporte par UTF8 et donc qu'il y aura un message d'alerte. Pour l'éviter, générer une demande de certificat avec OpenSSL afin d'obtenir un certificat sans UTF8.
  
  
• Si vous utilisez RPC over HTTPS, il faut configurer le client outlook de façon particulière, voir RPC over HTTPS et ISA 2006 et Wildcard
  
  
• Il existe des cas problématiques d'utilisation de certificats Wildcard avec Exchange
  
  

• Novell iChain 2.3 SP3
• Oracle Wallet Manager
• Aventail

Quels sont les inconvénients des certificats Wildcard ou OmniDomaine ?

• la sécurité : si un serveur hébergeant un tel certificat est compromis, tous les autres serveurs utilisant ce certificat sont en danger (même clef privée).
• la gestion : si un certificat Wildcard ou OmniDomaine doit être révoqué, il faudra le changer sur tous les serveurs qui l'utilisent.
• la compatibilité : pour éviter les soucis, il faut considérer que l'étoile ne remplace qu'un seul niveau de domaine (pas de correspondance sur le point)