Certificati SSL per aree di dominio sovrapposte?

Question

Certificati SSL per aree di dominio sovrapposte?

#1 da (3 voti)
#2 da (3 voti)

2

Supponiamo che un server ospiti

   https://www.master.com/

e quindi è dotato di un certificato SSL (singolo dominio).

Inoltre, supponiamo che ci siano alcune app web sotto master.com :

   http://wiki.master.com/
   http://docs.master.com/
   http://cal.master.com/
   ...

Per proteggere queste app Web, è possibile utilizzare un certificato con caratteri jolly per master.com , che raggiunge 1 livello inferiore. Questo certificato SSL con caratteri jolly proteggerebbe quindi le connessioni a ciascuna di queste app Web.

Domanda: questo certificato potrebbe essere emesso , sebbene sia già stato rilasciato un altro certificato (non jolly) per www.master.com?

Le CA si scambiano dati per garantire che i domini dei certificati emessi non si sovrappongano?

tls certificates certificate-authority dns-domain sub-domain

posta SteAp 06.09.2013 - 23:42

fonte

2 risposte

3

Sì, puoi emettere un certificato con caratteri jolly per i tuoi domini.

No, le CA probabilmente non scambiano dati, né si preoccuperebbero se qualche altra CA acquistasse un certificato sovrapposto.

In altre parole, puoi avere tutti i certificati jolly e non jolly che desideri. Dopo aver acquisito il certificato, devi aggiungere quel certificato nel server web.

Alcuni server Web si comportano in modo divertente con certificati sovrapposti o possono rendere difficile distinguere un certificato da un altro. Tieni questo a mente quando importi il certificato nei tuoi server e andrà tutto bene.

risposta data 06.09.2013 - 23:49

fonte

Leggi altre domande sui tag tls certificates certificate-authority dns-domain sub-domain

Ci sono motivi per preoccuparsi della sicurezza di "Coin"? [duplicare] In che modo nmap determina se sta eseguendo il servizio HTTP su una porta? Non funziona qui

score 3 · Accepted Answer

Sì. Un esempio:

blog.torproject.org ha un certificato non jolly su 38.229.72.9

www.torproject.org utilizza * .torproject.org su cinque macchine apparentemente distinte 38.229.72.16 38.229.72.14 93.95.227.222 86.59.30.40 82.195.75.101

research.torproject.org utilizza * .torproject.org su 38.229.72.14

In un primo momento potrei essere fonte di confusione per le (rare) persone che esaminano effettivamente i certificati, ma agli agenti utente non interessa.

Non riesco a pensare a nessuna buona ragione per avere entrambi i certificati su un server.

Non riesco a immaginare un modo generale in cui una CA possa sapere se un'altra CA ha emesso un certificato di sovrapposizione. Dubito seriamente che tu possa ottenere qualcuno di loro per condividere informazioni sui clienti l'uno con l'altro.