Spero che la mia domanda non sia completamente fuori tema, quindi provo a chiedere.
Uso diversi certificati con nomi di argomenti / alt molto inusuali. Vengono utilizzati per servizi come IMAP, invio SMTP, accesso FTP e altri servizi. Tutti i servizi sono pubblici, ma sono accessibili solo agli utenti autenticati. Ogni client ha il suo nome host univoco per ogni servizio e quel nome host deve far parte di un certificato. Quindi c'è un certificato su ogni servizio (uno per IMAP, uno per FTP, ecc.) E quel certificato è valido per ogni nome host (che sono uniqe per ciascun utente).
I nomi host sono uniqe per la possibilità di migrare i singoli servizi del client tra i nodi del server senza la necessità di interagire con l'utente.
Questa configurazione potrebbe essere ottenuta usando semplici wildcars (come * .imap.example.com), ma in passato, quando iniziammo con questo approccio user / hostname / certificate, abbiamo usato i certificati StartSSL. Consentono un numero quasi illimitato di nomi alt nei loro certificati, inclusi i caratteri jolly, quindi abbiamo scelto di utilizzare qualcosa come *.*.example.com hostname. Il motivo principale era impedire l'eccessivo riempimento delle nostre zone DNS con decine di migliaia di record, quindi abbiamo nidificato gli hostname un livello più in profondità:
12345.45.imap.example.com - user #12345
12346.46.imap.example.com - user #12346
E i nomi alt del certificato sono simili a questo:
*.01.imap.example.com, .., *.45.imap.example.com, ...
Per molto tempo abbiamo usato questa approache senza problemi, fino a quando lo scorso anno StartSSL è stato acquistato da Wosign e i nostri certificati diventeranno non affidabili a un certo punto di quest'anno.
Ho già fatto qualche ricerca se esiste un'altra CA che consenta certificati simili ma finora senza fortuna. Naturalmente molti di loro sarebbero felici di firmarli per noi - ma per un prezzo veramente alto (inoltre, rispetto ai certificati StartSSL gratuiti usati fino ad ora).
C'è un modo per risolvere il nostro caso senza spendere una fortuna per tali certificati? Costringendo i nostri utenti a cambiare i loro nomi di host nei client di posta e tali non sono un'opzione.
Sarebbe fantastico se es. Let's Encrypt supporterà i caratteri jolly. O ci sono altre CA "non commerciali" che sarebbero disposte a firmare tali certificati?