Se eu tiver test.example.com e prod.example.com (dois nomes de host, mas mesmo nome de domínio), posso usar o mesmo certificado SSL em ambas as máquinas?
No passado, quando tentei usar um prod.example.com cert em test.example.com , ele resultou em avisos do navegador para incompatibilidade de host, o que me levou a acreditar que eu precisava de um caractere curinga (ou então várias certificações distintas). (Talvez meu erro tenha sido gerar o CSR para prod.example.com em vez de simplesmente example.com ?)
Mas os vários sites de fornecedores de SSL mencionam a necessidade de um certificado curinga para subdomínios , que não é nada do que estou usando.
A linguagem deles é simplesmente incorreta? (Meu lado cínico se pergunta se isso ajuda os vendedores a venderem certs mais caros ...)
Você precisaria de um certificado que suporte o campo Nome Alternativo de Assunto e teria test.example.com ali para que funcionasse no exemplo descrito.
Um certificado para example.com não funcionará magicamente para *.example.com , como você está descrevendo, a menos que seja um certificado curinga, que você diz explicitamente que não possui. O campo SAN listando cada subdomínio é o que você precisa se não for obter um curinga.
Is their language simply incorrect?
Não, a sua é.
If I have
test.example.comandprod.example.com(two hostnames, but same domain name)
Estes não são o mesmo nome de domínio. Ambos são nomes de domínio separados que são subdomínios de example.com .
Um nome de domínio é qualquer nome existente em qualquer nível no DNS, não apenas os que você recebe do seu registro de domínios.
Um certificado SSL só pode abranger:
Assim, você não pode simplesmente obter um certificado para example.com e também cobrir automaticamente os subdomínios.
Primeiro, um esclarecimento: não há subdomínios na maneira como você está usando - apenas domínios. Ou melhor, você pode dizer que qualquer domínio que você possui é um subdomínio. O domínio raiz é ".". O TLD "com". é um "subdomínio" de "." "example.com" é um subdomínio de "com". ... Um subdomínio é um domínio definido dentro de outro domínio. mas isso é relativo, não um atributo absoluto.
Os certificados de wild card são mais expansivos não porque sejam diferentes de um domínio, mas devido à sua exposição e às chances de serem comprometidos. Você não está pagando ao SSL CA o "preço" do certificado, mas um seguro limitado. Este seguro cobre apenas se a violação for causada pelo mau uso do seu certificado e sua cadeia pela CA.
Se você tiver apenas alguns subdomínios, será mais barato comprar um certificado para vários domínios (certificados que usam o Nome alternativo do assunto). Se você tem muitos subdomínios de um domínio ou espera adicionar um número desconhecido de subdomínios, é melhor comprar um certificado curinga. Se você tiver domínios diferentes (example1.com, example2.com, example1.us), poderá usar somente certificados SAN ou comprar um certificado curinga para cada domínio. (Por exemplo, você não pode comprar um certificado curinga para * .com).
Usar certificado SAN ou curinga pode diminuir a segurança da sua configuração, pois forçará você a usar o mesmo ouvinte e provavelmente usará o mesmo usuário (você pode executar com usuários diferentes com algo como mod_suexec para o apache). Portanto, se um site for comprometido, poderá levar os outros sites a ficarem comprometidos. Se você tiver certificados diferentes, poderá executar esses aplicativos como usuários diferentes e ter mais segurança.