Un certificato vale quanto chiunque convalida pensa che sia. Un certificato è valido per SSL fino a quando i client SSL (ad esempio browser Web o client VPN) lo accettano come validi. Qualunque cosa tu faccia, i clienti esistenti condurranno il ballo.
Un certificato "jolly" è descritto in RFC 2818 , sezione 3.1:
Names may contain the wildcard
character * which is considered to match any single domain name
component or component fragment. E.g., .a.com matches foo.a.com but
not bar.foo.a.com. f.com matches foo.com but not bar.com.
Questo è l'unico posto in cui il carattere " *
" ha un significato speciale. Ciò significa che il certificato jolly è "un certificato jolly" solo nel contesto di un server HTTPS: in quel contesto, il client richiederà che il nome del server previsto (quello nell'URL) corrisponda al nome nel certificato; la "wildcard" è una sorta di abbinamento. Quindi il tuo certificato sarà accettato dai clienti come certificato per i server foo.domain.com, bar.domain.com, qux.domain.com ... e così via.
Si noti che alcuni altri protocolli hanno più o meno adottato le stesse regole di corrispondenza dei nomi; per esempio. un certificato per un server IMAPS dovrà anche contenere il nome del server (ovvero, il nome che i client si aspettano). Inoltre, tieni presente che il supporto completo per i caratteri jolly è una specie di rarità (i clienti che accettano di considerare *fo*.domain.com
come foo.domain.com
corrispondente non sono legione).
Questo è completamente ortogonale alla questione dell'emissione di certificati secondari. Un certificato accettato come emittente per un altro certificato è denominato certificato CA e il segno distintivo di un certificato CA è che contiene un'estensione Vincoli di base con il flag cA
impostato su TRUE
( vedi RFC 5280 , sezione 4.2.1.9). Nessun cliente accetterà un certificato emesso dal certificato "jolly" a meno che non abbia questo flag; e la presenza o l'assenza di un carattere " *
" nel nome è totalmente irrilevante qui.
Come nota a margine, trovo un po 'dubbioso l'idea di "proteggere tutto" copiando lo stesso certificato e la chiave privata in molte macchine. Più copia una chiave privata, meno diventa segreta. La crittografia asimmetrica era intesa come un modo per evitare copiare le chiavi segrete. Il normale paradigma del certificato è che ogni entità in una rete dovrebbe avere la propria chiave privata, invece di condividere la stessa chiave privata tra gli host.