UCC证书仅适用于相关网站?

时间:2010-06-18 18:00:46

标签: ssl-certificate

在SSL证书提供商处,我收到此消息:

注意:UCC证书是通信服务器,Exchange Server和其他企业应用程序以及具有许多相关URL的单个公司或实体的理想选择。 不建议使用此证书,以便与彼此完全分开的网站一起使用(例如,为竞争对手构建网站的网络提供商)。

我只是不明白为什么。

任何人都可以分享一些亮点吗?

提前谢谢。

2 个答案:

答案 0 :(得分:3)

原因是因为UCC证书只有一个通用名称,所有SAN(证书上的其余域)总是指向相同的公用名。许多浏览器都可以随时使用这些信息,就像http://www.sslshopper.com/ssl-checker.html等各种在线工具一样。不建议这样做,因为它暗示了业务之间的关联,或者看起来对消费者有误导性,因为域名不是匹配。它破坏了SSL旨在激发的信心,即使它不是那么安全,也不是技术上可行的设置。

作为一个古怪的例子,我可以说我经营一家名为IntimateHosting.com的公司,我专注于托管与床有关的任何事情。我是一个狂热的床。床店,性玩具店,酒店,床和床;早餐,床单制造商等我为他们所有人提供了一个UCC。一位购物者在LuxuryHotelA.com上,想要检查安全性,结果通用名称是FeatherFetish.com(我们的羽绒被销售网站......恰好是我们设置的第一个网站,所以它是通用名称) 。更进一步,他们看到证书上的其他替代名称是LuckyLinens.com,LuxuryHotelB.com(直接竞争对手!),我们提供免费SSL的一些没有名字的汽车旅馆,当然还有我们自己的名字,IntimateHosting.com。

当然,大多数人在购物时都没有进行这样的研究,但这就是“不推荐”的原因。

答案 1 :(得分:3)

由于对companyA.comcompanyB.com都有效的证书只有一个匹配的私钥,任何拥有该私钥的人都可以以有效的方式为主机名提供服务,就证书而言验证是关注的。

这意味着companyA.com的服务器管理员还负责保管companyB.com的密钥+证书(因为它是相同的证书)。

如果两个公司或站点属于同一个实体,这可以正常工作,但如果这些站点不属于同一管理域的范围,从组织和法律的角度来看,这可能会非常复杂。这通常不利于安全的问责制和行政方面。