Le même certificat SSL générique peut-il être utilisé sur différentes adresses IP et / ou boîtiers?

10

Exemple:

Certificat SSL générique pour * .example.com installé sur deux boîtes différentes.

hostEU.example.com  A  60.70.80.90
hostUS.example.com  A  200.210.220.240

Je suppose que c'est un scénario parfaitement valide, où les noms d'hôte réels ne résident pas sur la même IP (ou même la même case pour cela).

Mon hypothèse est-elle correcte?

ssl ip ssl-certificate hostname wildcard mr-euro
la source

Réponses:

9

Oui , il n'y a pas de limitation technique pour cela; sauf si votre autorité de certification interdit explicitement cette utilisation.

La limitation la plus fréquemment donnée par une autorité de certification concerne les "serveurs physiques", mais il peut s'agir de limites de quelqu'un, même sur la base de l'IP.

Par exemple, Geotrust Wildcard Ssl dit:

Si vous devez répartir le certificat générique sur plusieurs serveurs physiques, vous pouvez acheter des licences supplémentaires.

drAlberT
la source
5
Pouvez-vous donner un exemple concret d'une autorité de certification interdisant efficacement l'utilisation d'un certificat générique sur plusieurs adresses IP?
womble
2
Je ne pense pas avoir vu quoi que ce soit mentionner plusieurs adresses IP, mais j'ai vu plusieurs exemples où l'installation du certificat sur plusieurs 'serveurs' viole les TOS. Je ne vérifiais pas spécifiquement les TOS génériques. Voir le certificat Geotrust QuickSSL pour un exemple de ce qui est lié à un «serveur».
Zoredache
5
Pfft, dites-leur d'aller farcir leur ToS jusqu'à leurs fondements collectifs. Restrictions ridicules et inappropriées ftl.
womble
3
@womble, je ne pense pas que quiconque soit en désaccord. À bien des égards, l'ensemble du système de certificat SSL est une arnaque. ( blogs.techrepublic.com/security/?p=2550 )
Zoredache
2
Même s'ils sont interdits par l'AC, peuvent-ils réellement le découvrir? Et si oui, que peuvent-ils faire, le révoquer?
mr-euro
0

Je sais que beaucoup d'autorités de certification vous limitent à définir le nombre de serveurs "physiques". Certes, mon expérience de Comodo est telle.

Mais le ToS peut-il être évité lorsque vous vous déployez sur un cluster de machines "virtuelles"?

Coops
la source