Quels sites Web peuvent être protégés par un certificat SSL particulier?
Quels sites Web (URL) peuvent être protégés par un seul certificat SSL?
Par exemple, www.security.hsbc.co.uk possède un certificat SSL. Ce certificat peut-il être utilisé pour protéger d'autres sites Web (URL)? Quelque chose qui dérive de celui-ci peut-être?
Si vous affichez le certificat dans votre navigateur Web, vous devriez pouvoir trouver le certificate subject alternative name valeur pour le certificat. Cela affichera une liste de tous les sites qui peuvent être sécurisés à l'aide de ce certificat, en plus du site indiqué dans le common name pour le certificat. Vous pouvez voir des valeurs génériques utilisées dans certains des noms, tels que * .hsbc.co.uk ou * .security.hsbc.co.uk.
Par exemple, si vous regardez le certificat protégeant cette page, vous verrez que Stack Exchange utilise un certificat pour tous leurs sites:
Firefox :
Chrome :
Le site sur lequel nous sommes actuellement, https://security.stackexchange.com est couvert par le caractère générique SAN *.stackexchange.com.
Gardez à l'esprit que pour qu'un site répertorié dans ces champs utilise ce certificat, le site aura besoin de la clé privée qui correspond à la clé publique du certificat.
Ces conditions doivent être remplies pour que votre navigateur puisse établir une connexion SSL/TLS avec le site, sans avertissement.
Pour qu'un site utilise avec succès un certificat X.509 donné (le type de certificat utilisé par TLS/SSL), il doit répondre à quelques exigences spécifiques:
- Il doit avoir la bonne clé privée pour le certificat. Sans cela, rien d'autre n'a d'importance, car le serveur ne pourra pas chiffrer correctement les communications autrement.
- L'autorité de certification qui a signé le certificat doit être approuvée par le navigateur de l'utilisateur (soit parce que les développeurs/fournisseurs du navigateur lui font confiance par nature, soit parce que l'utilisateur (ou la personne qui a configuré son système) a configuré le navigateur pour lui faire confiance). Sans cela, le navigateur ne fera pas confiance au certificat pour être sécurisé en soi.
- Il doit être accessible via un nom de domaine qui correspond soit au nom commun auquel le certificat est délivré, soit à l'un des autres noms de sujet répertoriés dans le certificat. Sans cela, le navigateur peut faire confiance au certificat, mais il ne le laissera pas être utilisé pour ce site. Certains navigateurs ne vérifient pas du tout le nom commun et nécessitent une correspondance avec un autre nom de sujet.
- Le certificat doit toujours être valide. Cela signifie que le système client doit voir la date et l'heure comme étant postérieures à la date d'émission indiquée dans le certificat, mais avant la date d'expiration indiquée dans le certificat. Selon le navigateur et le site, d'autres vérifications peuvent également être effectuées pour cette partie (par exemple, il peut vérifier une liste de révocation de certificats de l'autorité de certification ou valider le certificat via OCSP). Le fait de ne pas satisfaire à cette exigence équivaut effectivement à ne pas satisfaire à la deuxième exigence.
Tout site Web qui satisfait aux quatre conditions requises pour le certificat peut utiliser ce certificat. Certains navigateurs peuvent avertir l'utilisateur au lieu de bloquer l'accès au site si l'une des exigences ci-dessus autres que la première n'est pas remplie, bien que cela devienne de moins en moins courant du fait que le HSTS devient la norme (si un site a demandé pour HSTS, le navigateur doit bloquer tous les accès sans certificat qui ne répond pas aux quatre conditions).
- Un certificat générique est un certificat numérique qui est appliqué à un domaine et à tous ses sous-domaines (
*.domainname.example.com) - Avec un certificat multi-domaine vous pouvez sécuriser plusieurs sites Web pleinement qualifiés avec un seul certificat (
domainname1.example.com,domainname2.example.com, ...)