Diferentes Autoridades de Certificados SSL para domínios e subdomínios?

Navegue suas respostas
3

Nosso site principal www.example.com tem um certificado SSL regular da VeriSign. No entanto, precisamos de ssl para o nosso ambiente de desenvolvimento para testes precisos. É possível usar outro SSL de um provedor diferente (mais barato) para nossos domínios dev.example.com e stage.example.com? Nós temos um balanceador de carga com IPs diferentes, então ter IPs exclusivos não deve ser um problema.

    
por SirrDon 04.04.2012 / 01:00

2 respostas

5

Sim

É certamente possível. Trabalhei com algumas empresas que compram certificados caros (por exemplo, certificados de validação estendida) para locais de produção e certificados mais baratos (certificados validados por domínio), às vezes de diferentes autoridades de certificação, para fins de desenvolvimento e teste.

Porém, você pode querer abordar isso de forma um pouco diferente, especialmente ao considerar um motivo de "teste preciso"

Primeiro, os certificados SSL fornecem principalmente três coisas:

  1. Criptografia
  2. Integridade
  3. Autenticidade

O primeiro recurso, criptografia, é fornecido, independentemente da CA escolhida. Um CSR de 2048 bits assinado pela DigiSign fornece uma criptografia tão strong quanto um CSR de 2048 bits assinado pela VeriSign.

O segundo recurso, integridade, reside na natureza da conexão, ou seja: uma troca de mensagem criptografada entre um cliente e um servidor confiável. Portanto, sem a confiança na Criptografia e Autenticidade, a integridade da troca de mensagens não pode ser alcançada. Além disso, um resumo da mensagem é calculado para garantir que a mensagem seja a mesma antes da criptografia e após a descriptografia

O terceiro recurso, autenticidade, é determinado pela relação de confiança entre a CA que emitiu seu certificado SSL (por exemplo, VeriSign) e o usuário (o cliente). Isso é importante , porque o software cliente pode confiar em uma CA, mas não em outra. Um exemplo pode ser: testar um aplicativo da Web seguro em um dispositivo móvel. O dispositivo móvel confia na CA que emitiu seu certificado de "teste", mas assim que você entra em produção, tudo é interrompido, porque a CA que emitiu seu certificado de produção não é confiável pelo dispositivo móvel. / p>

Uma possível solução (e uma que eu recomendaria frequentemente) é o uso de certificados curinga , um certificado que corresponde a um componente de subdomínio curinga, como: *.example.com . Dessa forma, você pode proteger www.example.com , analytics.example.com , dev.analytics.com etc., todos com o mesmo certificado.

Certificados curinga são bem caros, mas se você tiver um punhado de sites ou mais, pode valer a pena

    
por 04.04.2012 / 01:28
1

Dependerá da sua configuração de LB e da sua escolha e configuração do servidor web, mas sim, deve ser possível ter certificados diferentes em cada subdomínio.

    
por 04.04.2012 / 01:12

Tags

Força para usar provedor DNS específico na rede RAID5 no redimensionamento online do SmartArray P410i