Kann dasselbe Wildcard-SSL-Zertifikat für verschiedene IP-Adressen und / oder Boxen verwendet werden?

10

Beispiel:

Wildcard-SSL-Zertifikat für * .example.com, installiert auf zwei verschiedenen Boxen.

hostEU.example.com  A  60.70.80.90
hostUS.example.com  A  200.210.220.240

Ich gehe davon aus, dass dies ein absolut gültiges Szenario ist, in dem sich die tatsächlichen Hostnamen nicht auf derselben IP befinden (oder sogar auf derselben Box).

Ist meine Annahme richtig?

Herr Euro
quelle

Antworten:

9

Ja , hierfür gibt es keine technischen Einschränkungen. es sei denn, Ihre Zertifizierungsstelle verbietet diese Verwendung ausdrücklich.

Die am häufigsten von einer Zertifizierungsstelle angegebene Einschränkung betrifft die "physischen Server", kann jedoch auch auf IP-Basis eine Einschränkung sein.

Als Beispiel sagt Geotrust Wildcard Ssl :

Wenn Sie das Platzhalterzertifikat auf mehrere physische Server verteilen müssen, können Sie zusätzliche Lizenzen erwerben.

drAlberT
quelle
5
Können Sie ein reales Beispiel für eine Zertifizierungsstelle geben, die die Verwendung eines Platzhalterzertifikats für mehrere IP-Adressen effektiv verbietet?
womble
2
Ich glaube nicht, dass ich etwas gesehen habe, das mehrere IP-Adressen erwähnt, aber ich habe mehrere Beispiele gesehen, bei denen die Installation des Zertifikats auf mehreren "Servern" gegen die Nutzungsbedingungen verstößt. Ich habe die Wildcard-Nutzungsbedingungen nicht speziell überprüft. Ein Beispiel dafür finden Sie im Geotrust QuickSSL-Zertifikat, das an einen 'Server' gebunden ist.
Zoredache
5
Pfft, sag ihnen, sie sollen ihre ToS in ihre kollektiven Fundamente stecken. Lächerliche und unangemessene Einschränkungen ftl.
Womble
3
@womble, ich glaube nicht, dass jemand anderer Meinung ist. In vielerlei Hinsicht ist das gesamte SSL-Zertifikatssystem ein Betrug. ( blogs.techrepublic.com/security/?p=2550 )
Zoredache
2
Können sie es tatsächlich herausfinden, selbst wenn dies von der CA verboten ist? Und wenn ja, was können sie tun, um es zu widerrufen?
Herr Euro
0

Ich weiß, dass viele Zertifizierungsstellen Sie darauf beschränken, die Anzahl der "physischen" Server festzulegen. Sicher ist meine Erfahrung mit Comodo so.

Aber kann der ToS vermieden werden, wenn Sie auf einem Cluster "virtueller" Maschinen bereitstellen?

Coops
quelle