I Came across cloud flares che "fornisce i certificati SSL utilizzano l'estensione Subject Alternative Names (SAN) per supportare più domini sullo stesso certificato SSL"
Perché uno vorrebbe questo e cosa sta fermando un attacco MITM fatto su larga scala, con queste estensioni SAN?
Si desidera inserire più nomi nel certificato se si desidera utilizzare lo stesso certificato per diversi siti. In genere, questi siti si trovano tutti sullo stesso server fisico e si desidera solo un certificato da gestire.
Ad esempio, il certificato di Google sui propri siti "Paese" (ad esempio www.google.ca per la versione canadese di Google) attualmente contiene tutti questi nomi nella sua estensione SAN:
DNS Name: *.google.com
DNS Name: *.android.com
DNS Name: *.appengine.google.com
DNS Name: *.cloud.google.com
DNS Name: *.google-analytics.com
DNS Name: *.google.ca
DNS Name: *.google.cl
DNS Name: *.google.co.in
DNS Name: *.google.co.jp
DNS Name: *.google.co.uk
DNS Name: *.google.com.ar
DNS Name: *.google.com.au
DNS Name: *.google.com.br
DNS Name: *.google.com.co
DNS Name: *.google.com.mx
DNS Name: *.google.com.tr
DNS Name: *.google.com.vn
DNS Name: *.google.de
DNS Name: *.google.es
DNS Name: *.google.fr
DNS Name: *.google.hu
DNS Name: *.google.it
DNS Name: *.google.nl
DNS Name: *.google.pl
DNS Name: *.google.pt
DNS Name: *.googleadapis.com
DNS Name: *.googleapis.cn
DNS Name: *.googlecommerce.com
DNS Name: *.googlevideo.com
DNS Name: *.gstatic.cn
DNS Name: *.gstatic.com
DNS Name: *.gvt1.com
DNS Name: *.gvt2.com
DNS Name: *.metric.gstatic.com
DNS Name: *.urchin.com
DNS Name: *.url.google.com
DNS Name: *.youtube-nocookie.com
DNS Name: *.youtube.com
DNS Name: *.youtubeeducation.com
DNS Name: *.ytimg.com
DNS Name: android.com
DNS Name: g.co
DNS Name: goo.gl
DNS Name: google-analytics.com
DNS Name: google.com
DNS Name: googlecommerce.com
DNS Name: urchin.com
DNS Name: youtu.be
DNS Name: youtube.com
DNS Name: youtubeeducation.com
Non vi è alcun motivo per cui nomi in un'estensione SAN possano portare a attacchi Man-in-the-Middle. Ricorda che l'estensione SAN fa parte del certificato e il certificato è firmato crittograficamente, il che significa che nulla può essere aggiunto, rimosso o modificato all'interno di un certificato senza rompere la firma.
Spetta naturalmente all'autorità di certificazione verificare che il richiedente possieda davvero tutti i nomi di dominio pertinenti prima di emettere (cioè firmare) il certificato con l'estensione SAN.
Leggi altre domande sui tag tls