Certificado UCC solo para sitios relacionados?

Question

En un proveedor de certificados SSL me sale este mensaje:

NOTA: El Certificado UCC es ideal para Communication Server, Exchange Server y otras aplicaciones empresariales, así como para las empresas individuales o entidades con muchas URL relacionadas. Este Certificado no se recomienda para usar con sitios completamente separados unos de otros (por ejemplo, un proveedor de red que crea sitios web para la competencia).

Simplemente no entiendo por qué.

¿Alguien puede compartir algo de luz?

Gracias de antemano.

Answer 1

Dado que un certificado válido para companyA.com y companyB.com solo tiene una clave privada coincidente, quienquiera que tenga el control de esa clave privada puede servir cualquiera de los nombres de host de una manera válida en lo que respecta a la validación de certificados.

Esto significa que los administradores del servidor de companyA.com también tienen la responsabilidad de la custodia de la clave + cert para companyB.com (ya que es el mismo certificado).

Esto puede funcionar bien si las dos compañías o sitios son parte de la misma entidad, pero esto puede ser bastante complicado desde el punto de vista organizativo y legal si los sitios no están dentro del alcance de la misma administración dominio. Esto generalmente no es bueno para la responsabilidad y los aspectos administrativos de la seguridad.

Answer 2

La razón de esto es porque un certificado UCC tiene solo un nombre común, y todas las SAN (el resto de los dominios en el certificado) siempre apuntan al mismo nombre común. Muchos navegadores ponen esta información a su disposición fácilmente, al igual que una variedad de herramientas en línea como http://www.sslshopper.com/ssl-checker.html. No se recomienda porque implica una asociación entre empresas, o puede confundir al consumidor, ya que los nombres de dominio no coinciden. Socava el nivel de confianza que SSL pretende inspirar, a pesar de que no es menos seguro y no es menos viable técnicamente.

Como un ejemplo extraño, digamos que tengo un negocio llamado IntimateHosting.com, y me especializo en alojamiento para todo lo relacionado con camas. Soy un fanático de la cama. Tiendas de cama, tiendas de juguetes sexuales, hoteles, cama & desayunos, fabricantes de sábanas, etc. Obtengo un UCC para todos ellos. Un comprador está en LuxuryHotelA.com, quiere verificar la seguridad, resulta que el nombre común es FeatherFetish.com (nuestro sitio de venta de edredones ... resultó ser el primer sitio que configuramos, por lo que es el nombre común) . Mirando más lejos, ven otros nombres alternativos en el certificado LuckyLinens.com, LuxuryHotelB.com (¡un competidor directo!), Un motel cutre y sin nombre al que le dimos un SSL gratis, y por supuesto nuestro propio nombre, IntimateHosting.com.

Concedido, la mayoría de la gente no hace esta cantidad de investigación cuando compra, pero es por eso que "no es recomendable".