ISRG celebrates 10 years of helping build a brighter Internet →

Fogalomtár

Utoljára frissítve: | Dokumentáció megtekinthető

ACME (Automatic Certificate Management Environment) : A Let’s Encrypt által alkalmazott protokoll. Az ezzel a protokollal kompatibilis szoftverek használhatják a Let’s Encrypttel való kommunikációra, hogy tanúsítványt kérjenek. ACME RFC - Wikipedia

ACME Client : Egy olyan program, amely képes kommunikálni egy ACME szerverrel, hogy tanúsítványt kérjen.

ACME Server : Egy ACME-kompatibilis szerver, amely képes tanúsítványokat generálni. A Let’s Encrypt szoftvere, a Boulder ACME-kompatibilis, némi eltéréssel.

Authority Information Access (AIA) : Tanúsítványbővítmény, amely arra szolgál, hogy a user agentek számára jelezze, hogyan szerezzenek információt a tanúsítványkiállítójáról. Általában az OCSP URI-t és a kibocsátó URI-t adja meg.

Baseline Requirements (BRs) : A hitelesítésszolgáltatókra vonatkozó technikai és eljárásmódbeli követelmények. Mivel minden fontosabb root-program tartalmazza az alapkövetelményeket (Baseline Requirements), a tanúsító hatóságoknak követniük kell ezeket a követelményeket ahhoz, hogy a legtöbb böngésző megbízzon bennük.

Boulder : Az ACME-t alkalmazó szoftver, amelyet a Let’s Encrypt fejlesztett ki és használ. GitHub

CA Issuers : Az AIA mező azon része, amely a tanúsítvány kiállítójára vonatkozó információkat tartalmazza. Hasznos lehet, ha a webszerver nem biztosít megbízható tanúsítványláncot.

CA/Browser Forum : A tanúsító hatóságok, az internetes böngészőszoftverek, az operációs rendszerek és más PKI-kompatibilis alkalmazások szállítóinak önkéntes csoportja. A CA/Browser Forum közzéteszi a alapkövetelményeket (Baseline Requirements). A Let’s Encrypt a CA/Browser Forum tagja. Wikipedia

CAA (Certificate Authority Authorization) : Egy DNS rekord, amely meghatározza, hogy mely CA-k jogosultak tanúsítványt kiállítani a megfelelő domain névhez. A CAA rekordokat a tanúsító hatóságok ellenőrzik, nem a böngészők. A Let’s Encrypt tiszteletben tartja a CAA rekordokat az alapkövetelményeknek (Baseline Requirement) megfelelően. - Wikipedia

Canonical Name record (CNAME) : Egy DNS bejegyzés, amely egy domainnevet képez le egy másik domainnévre, amelyet kanonikus névnek nevezünk. Wikipedia

Certificate : Egy meghatározott formátumú fájl, amely tartalmaz egy nyilvános kulcsot és egyéb adatokat, amelyek leírják, hogy mikor kell használni a nyilvános kulcsot. A leggyakoribb tanúsítványtípus a végfelhasználói tanúsítvány. Vannak köztes és gyökér tanúsítványok is.

Certificate Authority (CA) : Egy szervezet, amely tanúsítványokat állít ki. A Let’s Encrypt, IdenTrust, Sectigo, és DigiCert mind tanúsító hatóságok (Certificate Authorities). Wikipedia

Certificate Policy (CP) : Szabályrendszer, amely jelzi egy tanúsítvány alkalmazhatóságát egy adott közösségre és/vagy a közös biztonsági követelményeket támasztó alkalmazások osztályára. A kibocsátás konkrét részleteit a CPS tartalmazza. ISRG Certificate Policy - RFC 3647 - Wikipedia

Certificate Revocation List (CRL) : Módszer a user agentek tájékoztatására egy tanúsítvány visszavonásának állapotáról. Ez egy adott hitelesítésszolgáltatótól származó, az adott hitelesítésszolgáltató által aláírt összes visszavont tanúsítvány sorszámainak listája. Wikipedia

Certificate Signing Request (CSR) : Aláírt fájl, amely tartalmazza a CA által a tanúsítvány létrehozásához szükséges információkat. A Let’s Encrypt esetében a Common Name, Subject Alternative Names és a Subject Public Key Info lényeges információk. Általában a kliens alkalmazások automatikusan generálják a CSR-t a felhasználó számára, bár a webtárhely-szolgáltató vagy az eszköz is generálhat CSR-t. Wikipedia

Certificate Store : A tanúsítványtár a megbízható gyökerek listáját tartalmazza. Az operációs rendszerek (mint a Windows, az Android vagy a Debian) és a webböngészők (például a Firefox) fenntartanak egy tanúsítványtárat. A tanúsítványtár nélküli böngészők az operációs rendszer tanúsítványtárára támaszkodnak. A Let’s Encrypt által biztosított tanúsítványokban a legtöbb tanúsítványtár megbízik.

Certificate Transparency (CT) : A biztonság növelése érdekében a tanúsítványokat (vagy előtanúsítványokat) közzé kell tenni a tanúsítványok átláthatósági naplóiban: https://www.certificate-transparency.org/. A Let’s Encrypt létrehozza és közzéteszi az előtanúsítványokat, és a későbbi tanúsítvány tartalmazza az előtanúsítványhoz tartozó SCT-k listáját. Néhány böngésző, például a Google Chrome, megköveteli ennek az ellenőrizhető ígéretnek a jelenlétét a tanúsítvány érvényesítéséhez. Wikipedia

Certificate Transparency Log : A tanúsítványok átláthatóságának (Certificate Transparency) egy olyan összetevője, amely elfogadja a tanúsítványok és előzetes tanúsítványok benyújtását, és beépíti azokat egy állandó, ellenőrizhető, nyilvánosan hozzáférhető listába.

Certificate chain : Olyan köztes tanúsítványok listája, amelyek segítenek egy user agentnek meghatározni, hogy megbízhat-e egy végfelhasználói vagy leaf tanúsítvány megbízhatóságában, azáltal, hogy összekapcsolja azt a tanúsítvány tárjában lévő gyökértanúsítvánnyal. Megjegyzés: a lánc nem mindig egyedi, és ha egy weboldal egy tanúsítványláncot mutat be, amely egy gyökérhez vezet, a user agent dönthet úgy, hogy egy másik láncot használ a tanúsítvány validálásához. Wikipedia

Certificate extension : A tanúsítványokban a legtöbb mezőt kiterjesztések határozzák meg. Például a Subject Alternative Names és az AIA kiterjesztések. A kiterjesztési mechanizmus lehetővé teszi olyan új mezők létrehozását, amelyek nem voltak részei az eredeti X.509 szabványnak.

Certificate issuer : A tanúsítvány “kibocsátó” mezője azt írja le, hogy melyik tanúsítvány írta alá a tanúsítványt. Például egy Let’s Encrypt végfelhasználói tanúsítvány kibocsátó mezője a következő lehet: “Kibocsátó: C = US, O = Let’s Encrypt, CN = Let’s Encrypt hatóság X3”. Általában olyan mezőket tartalmaz, mint Common Name, Country és Organization. A kibocsátó mező minden esetben megegyezik bizonyos tanúsítványok Subject mezőjével. A önaláírt tanúsítványok esetében, mint például a gyökerek, a kibocsátó megegyezik a Subject-el. A “kibocsátó” kifejezés használható olyan tanúsítványra is, amely más tanúsítványokat ad ki (köztes vagy gyökér), vagy olyan szervezetre, amely tanúsítványokat ad ki.

Certificate subject : A tanúsítvány “Subject” mezője jelzi, hogy miről szól a tanúsítvány. Ez általában olyan mezőket tartalmaz, mint Common Name, Country és Organization.

Certification Practice Statement (CPS) : A tanúsító hatóság által a tanúsítványok kiállítása, kezelése, visszavonása, megújítása vagy újrakulcsozása során alkalmazott gyakorlatok ismertetése. ISRG Certification Practice Statement - RFC 3647 section 3.4 Wikipedia

Common Name (CN) : A tanúsítvány Subject része, amely leírja, hogy miről szól a tanúsítvány. A gyökér és közbenső tanúsítványok esetében ez a tanúsító hatóság ember által olvasható neve. A végfelhasználói tanúsítványok esetében ez a tanúsítványban szereplő domain nevek egyike. Megjegyzés: A “Common Name” legfeljebb 63 karakter lehet. Ez egy elavult módszer annak a domain névnek a megjelölésére, amelyre a tanúsítvány vonatkozik, mivel a jelenlegi internetes szabványok elvárják, hogy a szoftverek csak a Subject Alternative Names paramétert ellenőrizzék a tanúsítvány alkalmazhatóságának megállapításához.

Critical extension : A tanúsítvány tartalmazhat kiterjesztéseket, amelyek “kritikusnak” vannak jelölve. Ez azt jelenti, hogy a szoftvereknek el kell utasítaniuk a tanúsítványt, kivéve, ha a szoftver érti, hogyan kell feldolgozni az adott kiterjesztést. Ez lehetővé teszi a biztonság szempontjából fontos új kiterjesztések bevezetését anélkül, hogy a régebbi szoftvereket veszélyeztetné.

Cross Signing : Egy kiállítandó tanúsítványt több gyökér is aláírhat. Például a Let’s Encrypt közbensők keresztaláírása a IdenTrust által történik, mivel a Let’s Encrypt gyökerében az induláskor még nem bíztak meg a tanúsítványtárak. Technikailag ez két kiállító tanúsítványt jelent, amelyek ugyanazt a Subject és ugyanazt a Key-pair paramétereket használják, az egyiket egy Let’s Encrypt root, a másikat pedig egy IdenTrust root privát kulcsa írja alá: /certificates. Wikipedia

DNS-based Authentication of Named Entities (DANE) : DNS-t használó mechanizmus a bemutatott tanúsítvány vagy titkosítási kulcs hitelességének ellenőrzésére. Wikipedia

Domain Name System Security Extensions (DNSSEC) : A DNS válaszok kriptográfiai hitelesítésére szolgáló mechanizmus. A DNSSEC-nek a TLD-k, a domainnév-tulajdonosok és a rekurzív resolverek általi telepítésre van szüksége ahhoz, hogy érvénybe lépjen. Elterjedtsége jelenleg elég alacsony. Wikipedia

Domain-validated certificate : Egy tanúsítvány, ahol a kérelmező csak a domainnév feletti ellenőrzését bizonyította (és nem a kérelmező szervezet személyazonosságát). Let’s Encrypt kizárólag DV tanúsítványokat kínál (OV vagy EV tanúsítványokat nem): GYIK - Wikipedia

ECDSA (Elliptic Curve Digital Signature Algorithm) : A digitális aláírási algoritmus (DSA) egy változata, amely elliptikus görbén alapuló kriptográfiát használ. Wikipedia. A Let’s Encrypt támogatja az ECDSA-t a végfelhasználói tanúsítványok esetében, de a teljes lánc esetében még nem: /upcoming-features

Ed25519 : Az EdDSA egy speciális típusa, az Ed448-al együtt.

EdDSA (Edwards-curve Digital Signature Algorithm) : Egy modern, elliptikus görbéken alapuló nyilvános kulcsú aláírási rendszer, amely az elliptikus görbéken alapuló kriptográfiával kapcsolatos számos gyakori megvalósítási probléma megoldására szolgál. Az olyan hitelesítésszolgáltatók, mint a Let’s Encrypt, még nem tudnak EdDSA tanúsítványokat biztosítani. Wikipedia

Elliptic Curve Cryptography (ECC) : Az elliptikus görbéken alapuló nyilvános kulcsú kriptográfia egy típusa. Az ECC a nem EC-kriptográfiához képest kisebb kulcsokat használ, ugyanakkor azonos biztonságot nyújt. Cloudflare - Wikipedia

Extended Validation (EV) : A tanúsítvány validálásának olyan típusa, amelynél a CA ellenőrizte a weboldalt irányító jogi személyt. Az adott entitással kapcsolatos információkat tartalmaznak. A CA tanúsítványok ellenőrzése szigorúbb, mint az OV tanúsítványoké. A Let’s Encrypt nem kínál EV tanúsítványokat. Wikipedia

Fully qualified domain name (FQDN) : A weboldal teljes domainneve. Például a www.example.com egy FQDN.

HTTP Public Key Pinning (HPKP) : Olyan biztonsági mechanizmus, amely arra kéri a böngészőt, hogy egy webhely tanúsítványlánca a jövőbeni betöltések során bizonyos nyilvános kulcsokat használjon. A Chrome bevezette ezt a mechanizmust a hitelesítésszolgáltatói kompromittálódások elleni védelem érdekében, de ez webhelykieséseket okozott, ami arra késztette a Chrome-ot, hogy elavulttá minősítse és eltávolítsa ezt a mechanizmust. Wikipedia

IdenTrust : Egy tanúsító hatóság. Az IdenTrust rendelkezik keresztaláírt Let’s Encrypt köztes tanúsítványokkal: /certificates. Wikipedia

Intermediate certificate : Egy gyökér vagy egy másik köztes fél által aláírt tanúsítvány, amely képes más tanúsítványok aláírására. Ezeket a végfelhasználói tanúsítványok aláírására használják, miközben a gyökértanúsítvány magánkulcsa offline állapotban marad. A köztes tanúsítványok szerepelnek a tanúsítványláncokban. Wikipedia

Internationalized Domain Name (IDN) : Domainnév a a-tól z-ig, 0-tól 9-ig és a kötőjelen (-) kívüli karakterekkel. Tartalmazhatnak például arab, kínai, cirill, tamil, héber vagy latin ábécé alapú karaktereket diakritikus vagy ligatúrákkal. Az IDN domainek kódolt megjelenítése xn---el kezdődnek. Az IDN-eket a Let’s Encrypt támogatja: https://letsencrypt.org/2016/10/21/introducing-idn-support.html. Wikipedia - RFC 5890 - RFC 5891

Internationalized Domain Names for Applications (IDNA) : Lásd nemzetközivé tett tartománynév.

Internet Security Research Group (ISRG) : A Let’s Encrypt mögött álló szervezet: https://www.abetterinternet.org/about/. Wikipedia

Key-pair : A magánkulcs és a nyilvános kulcs kombinációja, amelyet aláírásra vagy titkosításra használnak. A nyilvános kulcsot általában egy tanúsítványba ágyazzák, míg a magánkulcsot önállóan tárolják, és titokban kell tartani. A kulcspár az alkalmazástól függően használható titkosításra és visszafejtésre, adatok aláírására és ellenőrzésére, vagy másodlagos kulcsok egyeztetésére. Wikipedia

Leaf certificate (end-entity certificate) : Leggyakrabban egy közvetítő által aláírt tanúsítvány, amely egy adott domain készletre érvényes, és nem képes más tanúsítványok aláírására. Ez az a tanúsítványtípus, amelyet a ACME kliensek igényelnek, és amelyet a web szerverek használnak. Wikipedia

Let's Encrypt (LE) : A ISRG által működtetett tanúsító hatóság. Wikipedia

Mixed content : Amikor egy HTTPS weboldal HTTP-n keresztül tölt be alforrásokat (Javascript, CSS vagy képek). A böngészők blokkolhatják a vegyes tartalmakat, vagy kevésbé biztonságosnak jelölhetik az oldalt, ha vegyes tartalom van jelen: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. A vegyes tartalmak problémájának megoldásához a webfejlesztőnek meg kell változtatnia az oldalait, hogy minden erőforrás HTTPS URL-címet használjon. A böngészőkbe épített fejlesztői eszközök segítségével kideríthető, hogy mely erőforrások okoznak vegyes tartalom problémákat.

OCSP (Online Certificate Status Protocol) : Egy módszer a tanúsítvány visszavonási státuszának ellenőrzésére. Más szóval, egy mód annak ellenőrzésére, hogy a tanúsító hatóság jelzi-e, hogy a tanúsítványt már nem kell érvényesnek tekinteni, annak ellenére, hogy a lejárati ideje még nem járt le. Ez a kérés adatvédelmi problémákat okozhat, mivel lehetővé teszi a tanúsító hatóság és az internetszolgáltatók számára, hogy közvetlenül megfigyeljék, hogy ki milyen webhelyeket látogat. Wikipedia

OCSP Must-Staple : Egy tanúsítvány kiterjesztés, amely tájékoztatja a böngészőt arról, hogy a webszervernek az adott tanúsítvánnyal OCSP tűzést kell használnia. Arra szolgál, hogy megkövetelje, hogy a tanúsítvány naprakész visszavonás státuszát a webkiszolgáló minden kapcsolatnál megerősítse, így a visszavonás megbízhatóbbá válik. A Let’s Encrypt kérésre az OCSP Must-Staple bővítéssel ellátott tanúsítványokat is kiállíthat. Mozilla Security Blog RFC 7633

OCSP stapling : Mód arra, hogy egy webszerver egy böngésző számára egy OCSP választ küldjön, amelyet a tanúsító hatóság írt alá, így a böngészőnek magának nem kell másodlagos OCSP kérést intéznie a tanúsító hatósághoz, javítva ezzel a sebességet és az adatvédelmet. Más néven TLS Certificate Status Request kiterjesztés. Wikipedia Cloudflare

Object identifier (OID) : Az OID-k a Nemzetközi Távközlési Unió (ITU) és az ISO/IEC által szabványosított egyedi numerikus azonosítók. Az OID-ket tanúsítványokon belül kiterjesztések, mezők vagy eljárásrend meghatározására használják. Az internetes szabványok, a Certificate Policy és Certification Practice Statement dokumentumok határozzák meg az OID használatát. Wikipedia

Organization Validation (OV) : Tanúsítványok, amelyek esetében a CA ellenőrizte az Subscriber jogi személyét. Az adott entitással kapcsolatos információkat tartalmaznak. A Let’s Encrypt nem kínál OV tanúsítványokat. Wikipedia

PEM file (.pem) : A kriptográfiai információk formátuma (eredetileg a biztonságos e-mailre vonatkozó Privacy Enhanced Mail internetes szabványok részeként került meghatározásra). A PEM dokumentum olyan információkat reprezentál, mint például egy magánkulcs, egy nyilvános kulcs vagy egy digitális tanúsítvány. Ezek a fájlok a következőképpen kezdődnek: “------BEGIN “, majd egy adattípus. Wikipedia

Personal Information Exchange Files (.pfx) : Egy fájl, amely tartalmazhat egy végfelhasználói tanúsítványt, annak láncát a gyökérig és a végfelhasználói tanúsítvány magánkulcsát. Lásd még: https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center

Precertificate : Az előzetes tanúsítványok a tanúsítványok átláthatóságának részét képezik. Az előzetes tanúsítvány annak a tanúsítványnak a másolata, amelyet a hitelesítésszolgáltató ki akar állítani, egy kritikus méregkiterjesztéssel kiegészítve, amely megakadályozza, hogy az előzetes tanúsítványt a hálózaton lévő szoftverek elfogadják. A tanúsító hatóság az SCT-kért cserébe előtanúsítványt nyújt be a CT-naplókhoz. Mivel az előzetes tanúsítvány nem azonos a hozzá tartozó tanúsítvánnyal, a Certificate Transparency naplók végül mindkettőt tartalmazhatják. RFC 6962 Section 3.1

Public Suffix List (PSL) : A Mozilla által karbantartott Public Suffixes lista, amely jelzi, hogy mely internetes domainek állnak rendelkezésre több különálló szervezet számára aldomainek regisztrálására. A lista például azt mutatja, hogy a com és a co.uk is Public Suffix, annak ellenére, hogy a co.uk nem TLD. A webböngészők többek között arra használják a listát, hogy megakadályozzák, hogy a valószínűleg különböző szervezetek által üzemeltetett webhelyek megosszák egymással a webes sütiket. A Let’s Encrypt a listát a határérték számításokhoz is használja: /rate-limits. https://publicsuffix.org/

RSA : Titkosításra és tanúsítványok digitális aláírására használt nyilvános kulcsú algoritmus. Wikipedia

Relying Party : Az a személy, aki a tanúsítványban szereplő információkra támaszkodik. Például, aki egy HTTPS weboldalt látogat meg, az egy Relying Party.

Revocation : A tanúsítvány a lejárati dátumáig érvényes, kivéve, ha a CA visszavontnak nyilvánítja. A tanúsítványt különböző okokból, például a magánkulcs kompromittálódása miatt visszavonhatják. A böngészők a CRL, OCSP, vagy az újabb módszerek, mint a OneCRL és CRLSets segítségével ellenőrizhetik, hogy egy tanúsítványt visszavontak-e már. Vegye figyelembe, hogy sok helyzetben a visszavonás nem működik. /docs/revoking

Root Program : Az az eljárásrend, amely alapján egy szervezet eldönti, hogy mely tanúsítványok kerüljenek a tanúsítványtárába, és amelyek alapján meghatározza, hogy mely tanúsító hatóságokban bízik meg a szoftvere.

Root certificate : Egy önaláírt tanúsítvány, amelyet egy tanúsító hatóság ellenőriz, és amelyet köztes tanúsítványainak aláírására használnak, és amely szerepel a tanúsítványtárakban. Wikipedia

SSL (Secure Sockets Layer) : A TLS régebbi, még mindig használatos neve.

Self-signed certificate : Saját magánkulccsal aláírt tanúsítvány, amelynek Subject mezője megegyezik az Issuer mezőjével. Az önaláírt tanúsítványok csak a fizikai világban kötött előzetes megállapodások, például a megbízható gyökerek listáján való szereplés miatt megbízhatóak. A gyökértanúsítványok önaláírtak. Wikipedia

Server Name Indication (SNI) : Egy mező, amelyet egy user agent küld egy szervernek a TLS kézfogás során, megadva a domain nevet, amelyhez csatlakozni kíván. Ez lehetővé teszi a szerver számára, hogy a megfelelő tanúsítvánnyal válaszoljon, ha ugyanazon IP cím mögött több domain is található. A webszerver más tanúsítványt küldhet, és más tartalmat jeleníthet meg, attól függően, hogy az ügyfél milyen nevet igényelt az SNI által. Az SNI nem titkosított, de egy kísérleti helyettesítője, az ESNI igen. Wikipedia

Signed Certificate Timestamp (SCT) : Egy aláírt, ellenőrizhető ígéret egy tanúsítvány közzétételére egy Tanúsítvány átláthatósági naplóból. A CT-t érvényesítő böngészők ellenőrzik az SCT-k jelenlétét egy webhely tanúsítványában vagy a TLS kézfogásban, és megtagadják a csatlakozást olyan webhelyekhez, amelyek nem felelnek meg a naplózási követelményeknek. Ez növeli annak valószínűségét, hogy a hamis vagy pontatlan tanúsítványok felderítésre kerülnek. https://www.certificate-transparency.org/how-ct-works

Staging : A Let’s Encrypt egy staging API-t biztosít a tanúsítványkérelmek teszteléséhez a határértékek befolyásolása nélkül. Az staging környezet által generált tanúsítványok nem nyilvánosan megbízhatóak. A staging környezet tesztelésre, hibakeresésre és az ACME kliens fejlesztésére használható. /docs/staging-environment

Subject Alternative Name (SAN) : A tanúsítvány egy mezője, amely jelzi, hogy a tanúsítvány mely domain(ek)re érvényes. Ez helyettesíti a Common Name használatát, amely most már csak kompatibilitási okokból van megadva. Egyetlen tanúsítvány több SAN-t is tartalmazhat, és több különböző domain névre is érvényes lehet. Wikipedia https://letsencrypt.org/docs/rate-limits/#names-per-certificate

Subscriber : A tanúsítványt igénylő személy vagy szervezet.

TLS (Transport-Level Security) : A HTTPS által a weboldal látogatások titkosítására és hitelesítésére használt protokoll.

TLSA : A DANE azon része, amely kifejezetten a TLS kapcsolatok validálására vonatkozik.

Top-Level Domain (TLD) : A hierarchikus tartománynévrendszer legmagasabb szintje, mint például az országkódos felső szintű domainek (ccTLD-k), mint .de (Németország), .cn (Kína) és az általános felső szintű domainek (gTLD-k), mint .com, .org. Wikipedia

Unified Communications Certificate (UCC) : Egy tanúsítvány leírása, amely több Subject Alternative Names (SAN)-t tartalmaz.

User Agent : Szoftver, amely képes kommunikálni egy webszerverrel. Például: webböngésző vagy cURL.

Web Browser : Egy user agent, amelyet weboldalak megjelenítésére használnak. Példák: Mozilla Firefox, Google Chrome vagy Internet Explorer. Wikipedia

Web server : A weboldalakat kiszolgáló szoftver (vagy tágabb értelemben a hardveres szerver, amely a weboldalakat kiszolgálja). Wikipedia

Wildcard Certificate : Egy szint mélységű aldomainekre érvényes tanúsítványok. Például egy SAN-t tartalmazó tanúsítvány a *.example.example.com címre érvényes a blog.example.com és a www.example.com címre, de nem a bork.bork.example.com vagy a example.com címre. A wildcard-ot egy csillag (*) jelzi az aldomain helyett. Let’s Encrypt 2018 márciusától biztosít Wildcard tanúsítványokat. Wikipedia

X.509 : A nyilvános kulcsú tanúsítványok formátumát meghatározó szabvány. Wikipedia