Credo che questo sia un comportamento indefinito per i browser (dato che non è definito come gestire questa situazione) Sto assumendo con certificato basato sull'indirizzo un certificato di nome di dominio completo (come in URL: //Machine.Domain.TLD) e con un certificato basato sul dominio un certificato di dominio jolly (come in URL: //.Domain.TLD).
Tutti i browser che conosco per ora assumono il seguente comportamento:
- Ottieni i certificati per la pagina "principale" (e.a. il file index.html o altro file richiesto direttamente)
- Usa questo certificato per "impostare" la barra degli indirizzi sicura (ad esempio il simbolo "lucchetto")
- Verificare che nessuna richiesta HTTP sia stata eseguita, in caso affermativo passare al simbolo di 'blocco' danneggiato.
- l'altra richiesta può essere inviata a qualsiasi posizione HTTPS, non esistono barriere di dominio oltre a quelle normali per HTTP.
Per quanto riguarda la tua seconda domanda. questo dipende dal rischio e dallo scopo. un certificato con caratteri jolly è più costoso, ma può essere utilizzato su più di un server. però. perché è utilizzato su più di 1 posto che significa anche che il segreto è noto in più di 1 posto (la chiave privata) che lo rende un rischio più elevato di furto. e poiché tutti i sottodomini si qualificano, un utente malintenzionato può effettivamente UTILIZZARE il certificato per ciò che desidera senza interferire con il tuo sito (e.a. più difficile rilevare l'uso improprio).
Inoltre, il certificato non identifica in modo univoco una "macchina", il che significa che per le applicazioni critiche non ho creato un'ancora completa completa (manca l'ultima catena).
Quindi un certificato FQDN identifica una "macchina" direttamente e ha solo il posto "1" dove viene custodito il segreto, il che rende più difficile l'abuso e significa anche che le catene di identità e sicurezza vengono eseguite fino alla "macchina".
Se un 'surfista' può verificare il proprietario di un sito web è completamente all'altezza delle abilità e delle conoscenze del navigatore. la maggior parte non controlla nemmeno il simbolo del lucchetto. (Dovresti comunque implementare HTTPS per motivi di spionaggio, sicurezza e dirottamento)