Czy ten sam wieloznaczny certyfikat SSL może być używany na różnych adresach IP i / lub skrzynkach?

10

Przykład:

Certyfikat SSL wieloznaczny dla * .example.com zainstalowany na dwóch różnych urządzeniach.

hostEU.example.com  A  60.70.80.90
hostUS.example.com  A  200.210.220.240

Zakładam, że jest to całkowicie poprawny scenariusz, w którym rzeczywiste nazwy hostów nie znajdują się w tym samym adresie IP (lub nawet w tym samym polu).

Czy moje założenie jest prawidłowe?

ssl ip ssl-certificate hostname wildcard mr-euro
źródło

Odpowiedzi:

9

Tak , nie ma technicznych ograniczeń; z wyjątkiem przypadków, gdy urząd certyfikacji wyraźnie tego zabrania.

Najczęściej ograniczeniem podawanym przez urząd certyfikacji są „fizyczne serwery”, ale może to być ktoś nawet na podstawie adresu IP.

Na przykład Geotrust Wildcard Ssl mówi:

Jeśli musisz rozszerzyć certyfikat wieloznaczny na wiele serwerów fizycznych, możesz kupić dodatkowe licencje.

drAlberT
źródło
5
Czy możesz podać rzeczywisty przykład urzędu certyfikacji skutecznie zabraniającego używania certyfikatu wieloznacznego na wielu adresach IP?
womble
2
Nie sądzę, że widziałem cokolwiek wspominającego o wielu adresach IP, ale widziałem kilka przykładów, w których instalacja certyfikatu na wielu „serwerach” narusza warunki świadczenia usługi. Nie sprawdzałem dokładnie TOS z symbolami wieloznacznymi. Zobacz certyfikat Geotrust QuickSSL, aby zobaczyć przykład tego powiązania z jednym „serwerem”.
Zoredache,
5
Pfft, powiedz im, żeby poszli naprzód w swoich Zasadach zbiorowych. Śmieszne i nieodpowiednie ograniczenia ftl.
womble
3
@womble, nie sądzę, żeby ktokolwiek się nie zgadzał. Pod wieloma względami cały system certyfikatów SSL to oszustwo. ( blogs.techrepublic.com/security/?p=2550 )
Zoredache
2
Czy nawet jeśli jest to zabronione przez urząd certyfikacji, czy rzeczywiście mogą się dowiedzieć? A jeśli tak, co mogą zrobić, odwołać?
mr-euro,
0

Wiem, że wiele urzędów certyfikacji ogranicza cię do ustawiania liczby „fizycznych” serwerów. Z pewnością moje doświadczenie z Comodo jest takie.

Ale czy można uniknąć wykonywania zadań podczas wdrażania na klastrze „wirtualnych” maszyn?

Coops
źródło