SSL e certificati in realtà non conoscono cos'è un "dominio".
Quando un client (ad esempio un browser Web o un'applicazione che chiama un servizio Web) si connette a un server SSL, controllerà il certificato del server (come inviato dal server stesso) e lo accetterà solo se il certificato contiene il nome del server previsto . Se il cliente desidera parlare con https://www.example.com/foo.html
, il client richiederà che il certificato contenga www.example.com
.
Un "certificato di dominio" è un nome di fantasia per un certificato che contiene il nome *.example.com
, noto anche come certificato jolly . Il client lo considererà abbastanza buono se il nome del server previsto è anything.example.com
per qualsiasi valore di anything
.
Nessuna parte del tutto ha alcuna consapevolezza del "dominio" nel suo complesso. Il server foo.example.com
non si preoccuperà del fatto che bar.example.com
usi o non usi SSL, indipendentemente dal contenuto del certificato; e qualsiasi client che si connette a foo.example.com
sarà interessato solo in ciò che trova nel certificato restituito da quel server; e sarà interessato solo se foo.example.com
appare come un nome nel certificato, come tale o con il pretesto di un nome jolly.