Un dominio può avere più server controllati da entità diverse
Sì, ma sarà necessario un certo coordinamento per ottenere i certificati SSL
Come funziona il coordinamento (dipende dalla sfida ACME utilizzata)
-
HTTP
-
Lavorando insieme
Ogni volta che uno dei 2 host desidera rinnovare un certificato, è necessario distribuire un file .well_known
su entrambi i server, in modo che, indipendentemente da quale licenza di accesso consenta, ottengano il file giusto.
-
centralizzata
Puoi eseguire un server aggiuntivo, su cui entrambe le parti possono inviare i file, e fare in modo che entrambi i server reindirizzino qualsiasi richiesta di .well_known
su questo server
-
DNS
Limitazione dell'impatto delle violazioni
Poiché i server devono essere in grado di generare certificati SSL se vengono violati, saranno in grado di generare certificati.
Utilizzando Must-Staple è possibile ridurre l'impatto degli attuali leak che possono essere ridotti, ma questo non aiuta se l'host è incaricato di creare nuovi certificati senza questo dopo la generazione.
Utilizzando i registri CT puoi vedere certs non validi e, usando CAA, puoi limitare le CA che emetteranno certificati, il che contribuirà a ridurre l'impatto sulla violazione.
Potresti anche utilizzare CAA per disattivare completamente i certificati e consentire solo l'emissione contattandoti e rimuovendo manualmente il record fino a quando il certificato non è stato emesso, riducendo la finestra di attacco, ma aumentando il carico di gestione.