僅適用於相關網站的UCC證書？

Question

在一個SSL證書提供商我得到這個消息：

注：UCC證書是理想的通信服務器，Exchange Server和其他企業應用程序，以及爲單一公司或實體與許多相關的網址。 建議不要使用此證書與完全彼此分開的網站（例如爲競爭對手構建網站的網絡提供商）一起使用。

我只是不明白爲什麼。

任何人都可以分享一些光？

預先感謝您。

Answer 1

由於對companyA.com和companyB.com都有效的證書只有一個匹配的私鑰，所以只要涉及證書驗證，誰擁有該私鑰的控制權就可以以有效的方式提供任一主機名。

這意味着服務器管理員companyA.com也有責任保證鑰匙+證書companyB.com（因爲它是相同的證書）。

如果兩家公司或網站屬於同一實體，這可以很好地工作，但如果網站不屬於同一管理範圍，從組織和法律角度來看，這會變得相當複雜域。這通常不利於安全問責和管理方面。

Answer 2

原因是因爲UCC證書只有一個通用名稱，並且所有SAN（證書上的其他域）始終指向相同的通用名稱。許多瀏覽器都可以讓您隨時獲得這些信息，因爲各種在線工具（如http://www.sslshopper.com/ssl-checker.html）不推薦，因爲它暗示着業務之間的關聯，或者可能會讓消費者誤會，因爲域名不匹配。它破壞了SSL的啓發，儘管它的安全性不低，技術上也不可行。

作爲一個奇怪的例子，可以說我經營一家名叫IntimateHosting.com的公司，我專門負責託管任何與牀有關的事情。我是一個狂熱的人。牀上用品店，性玩具店，酒店，牀上用品&早餐，牀單製造商等我得到一個UCC所有人。一位購物者在LuxuryHotelA.com網站上，想檢查安全性，結果發現常見的名字是FeatherFetish.com（我們的羽絨被銷售網站......恰巧是我們設立的第一個網站，所以它是通用名稱） 。進一步看，他們看到證書上的其他備用名稱是LuckyLinens.com，LuxuryHotelB.com（直接競爭對手！），一些沒有名字的汽車旅館，我們給了免費的SSL，當然還有我們自己的名字IntimateHosting.com。當然，大多數人在購物時不會做這些研究，但這就是爲什麼它不被推薦的原因。