La specifica X509 consente a una CA di rilasciare un singolo certificato per più nomi host, utilizzando "Subject Alternative Name " estensione.
Dalla specifica:
The subject alternative name extension allows identities to be bound to the subject of the certificate. These identities may be included in addition to or in place of the identity in the subject field of the certificate.
Questo ha numerosi usi; in particolare, si consideri una situazione di hosting / reverse proxy, con più siti posizionati. Questi siti non si fidano particolarmente l'un l'altro e non hanno alcun tipo di affiliazione; sono appena ospitati dallo stesso server, e quindi condividono lo stesso certificato.
È rischioso come sembra?
A prima vista, direi che essendo i siti non si fidano l'uno dell'altro, potrebbe essere possibile per siteA spoofare il sito B, anche su SSL, dal momento che siteA utilizza la stessa chiave privata del sito B. Il DNS avrebbe ancora bisogno di essere falsificato, ma ci sono diversi modi per farlo (anche se non sono banali).
Am Ho torto, c'è qualche altra mitigazione crittografica (o altra) che Non sto vedendo qui?