Non sono sicuro quali termini di Google utilizzare per trovare la risposta, quindi ho pensato di chiederlo qui, presentato come uno scenario:
Supponiamo di avere un'entità aziendale (esempio Co) con un certificato SSL con caratteri jolly emesso per * .example.com. Si contraggono con un fornitore SaaS e richiedono al fornitore SaaS di utilizzare un dominio personalizzato: saas.example.com.
Il provider SaaS crea la propria chiave privata (non condivisa con Example Co), genera un CSR e lo passa a Example Co., che lo ha firmato dalla propria CA e lo restituisce al provider SaaS per l'utilizzo in produzione .
Più tardi nello stesso anno, la chiave privata per il certificato di caratteri jolly di Example Co è compromessa, ma non lo sanno (quindi non la revocano). Se i ladri collegano man-in-the-middle a saas.example.com e presentano il certificato jolly, il cliente otterrebbe che man-in-the-middled ottenga qualsiasi tipo di avviso relativo al protocollo SSL dal proprio browser?