Чи може один і той же сертифікат SSL-символу використовуватись на різних IP-адресах та / або полях?

Приклад:

SSCD-сертифікат Wildcard для * .example.com, встановлений на двох різних полях.

hostEU.example.com  A  60.70.80.90
hostUS.example.com  A  200.210.220.240

Я припускаю, що це цілком справедливий сценарій, коли фактичні імена хостів не містять однакового IP-адреси (або навіть того самого поля для цього).

Чи правильне моє припущення?

— г-н-євро
джерело

Відповіді:

Так , для цього немає технічних обмежень; за винятком випадків, коли ваш ЦА забороняє це використання прямо.

Найчастіше обмеження, надані ЦП, є на "фізичних серверах", але вони можуть бути обмеженими навіть на основі IP-адреси.

Як приклад, Geotrust Wildcard Ssl говорить:

Якщо вам потрібно перетягнути сертифікат підстановки на декілька фізичних серверів, ви можете придбати додаткові ліцензії.

— drAlberT
джерело

Чи можете ви навести приклад справжнього світу, що ефективно забороняє використання символу wildcard на кількох IP-адресах?

— живіт

Я не думаю, що я бачив щось, що згадує кілька IP-адрес, але я бачив кілька прикладів, коли встановлення cert на декількох "серверах" порушує TOS. Я спеціально не перевіряв шаблону TOS. Див. Сертифікат Geotrust QuickSSL для прикладу, який прив’язаний до одного "сервера".

— Зоредаче

Pfft, скажіть їм, щоб вони зібрали свої ToS до своїх колективних фундаментів. Смішні та невідповідні обмеження ftl.

— живіт

@ womble, я не думаю, що хтось не погоджується. Багато в чому вся система сертифікатів SSL - це афера. ( blogs.techrepublic.com/security/?p=2550 )

— Zoredache

Навіть якщо це заборонено КА, чи можуть вони насправді це з'ясувати? І якщо так, то що вони можуть зробити, відкликати це?

— містер-євро

Я знаю, що багато ЦА обмежують вас встановлювати кількість "фізичних" серверів. Звичайно, мій досвід Комодо такий.

Але чи можна уникати ToS, коли ви розгортаєте на кластері "віртуальних" машин?

— Чашки
джерело