Сертификат UCC только для связанных сайтов?

Question

На провайдере SSL-сертификата я получаю это сообщение:

ПРИМЕЧАНИЕ. Сертификат UCC идеально подходит для Communication Server, Exchange Server и других корпоративных приложений, а также для отдельных компаний или организаций, имеющих множество связанных URL-адресов. Этот сертификат не рекомендуется для использования с сайтами, полностью отделенными друг от друга (например, сетевой поставщик, который создает веб-сайты для конкурентов).

Я просто не понимаю, почему.

Кто-нибудь может поделиться светом?

Заранее спасибо.

Answer 1

Поскольку сертификат, действительный как для companyA.com, так и companyB.com, имеет только один соответствующий закрытый ключ, тот, кто имеет контроль над этим закрытым ключом, может обслуживать любые имена хостов таким способом, который действителен в отношении проверки сертификата.

Это означает, что администраторы сервера companyA.com также несут ответственность за сохранность ключа + сертификат для companyB.com (поскольку это тот же сертификат).

Это может хорошо работать, если две компании или сайты являются частью одной организации, но это может быть довольно сложно с организационной и юридической точек зрения, если сайты не должны входить в область действия одного административного домена. , Как правило, это плохо для подотчетности и административных аспектов безопасности.

Answer 2

Причина этого в том, что сертификат UCC имеет только одно общее имя, и все SAN (остальные домены в сертификате) всегда указывают на одно и то же общее имя. Многие браузеры делают эту информацию доступной для вас, как и различные онлайн-инструменты, такие как http://www.sslshopper.com/ssl-checker.html. Это не рекомендуется, поскольку подразумевает связь между бизнесом или может показаться вводящим в заблуждение потребителю, поскольку доменные имена не не совпадают. Он подрывает уровень доверия, который должен вдохновлять SSL, хотя он не менее безопасен и не менее технически осуществим.

В качестве странного примера, скажем, я управляю бизнесом под названием IntimateHosting.com, и я специализируюсь на хостинге для всего, что связано с кроватями. Я фанатик кровати. Магазины кроватей, магазины секс-игрушек, отели, отели типа «постель и завтрак», производители простыней и т. Д. Я получаю один UCC для всех из них. Покупатель находится на LuxuryHotelA.com, хочет проверить безопасность, выясняется, что обычное имя - FeatherFetish.com (наш сайт продаж пухового одеяла ... как раз это был первый сайт, который мы создали, поэтому это общее имя) , Глядя дальше, они видят в сертификате другие альтернативные имена: LuckyLinens.com, LuxuryHotelB.com (прямой конкурент!), Какой-то грязный мотель без имени, которому мы предоставили бесплатный SSL, и, конечно, наше собственное имя, IntimateHosting.com.

Конечно, большинство людей не проводят такого количества исследований, когда делают покупки, но именно поэтому это "не рекомендуется".