In che modo i distributori SSL limitano la quantità di server sui quali possono essere installati?

11

Recentemente ho acquistato un certificato SSL e dice che è limitato a tre server. Sicuramente se ho la chiave e il certificato su più server (più di 3), lo SSL sarà ancora valido? Qualcuno può chiarire perché / come i venditori possono limitare questo? Un esempio di uno è 123-SSL 123-reg (che è un rivenditore di AlphaSSL).

    
posta Alex Blundell 29.03.2014 - 15:34
fonte

1 risposta

15

Non ci sono ragioni tecniche per tale limite, si tratta puramente di licenze (es. entrate e mantenimento di segmentazione del mercato ). Ci sono alcune considerazioni relative al trasferimento sicuro della chiave tra i sistemi quando fai questo, ma questo è facilmente indirizzato.

Se si viola la licenza oi termini di un accordo si rischia (almeno) di revocare il certificato.

Loro (il CA / rivenditore) potrebbero essere in grado di dire quanti server hai con:

  • ispezionando il tuo sito per i segnali di bilanciamento del carico (ad esempio diverse firme del server o intestazioni E-Tag) o anche solo più record A DNS
  • monitoraggio pinzatura OCSP richiede e registra gli IP di origine e la frequenza delle richieste, nell'improbabile evento che hai configurato

Tuttavia, nessun metodo è affidabile e conclusivo.

È possibile inserire indirizzi IP nei certificati , anche se alcune CA non supportano questo ( es. GoDaddy ). Questo non è comunemente usato per i certificati standard "web". Tale "nome" viene controllato solo dai browser se l'URL contiene un indirizzo IP nella parte host (ovvero il browser non controlla entrambi IP e DNS per gli URL che contengono nomi DNS). I server Web non tendono a controllare i certificati che presentano come a un browser e si presuppongono che l'amministratore sappia cosa stanno facendo. Anche se questo ha funzionato come un metodo per limitare l'uso concorrente provocando errori del browser (visibili dall'utente), sarebbe efficace solo se tutti i server avessero indirizzi IP pubblici (nessun NAT o proxy front-end / bilanciamento del carico).

    
risposta data 29.03.2014 - 16:11
fonte

Leggi altre domande sui tag