Может ли один домен иметь 2 или более SSL-сертификатов?

Question

Может ли один домен иметь 2 или более SSL-сертификатов?

Я гуглил и нашел этот пост: https://security.stackexchange.com/questions/46988/is-it-technically-possible-to-configure-two-different-ssl-certificates-for-the-s

Если это действительно возможно, то, что мешает мне, скажем, получить сертификат SSL для paypal.com(или какого-то важного сайта), каким-то образом заставить пользователей зайти на мой сайт / сервер с помощью этого нового сертификата (отравление кэша, что-то еще, не не имеет значения на самом деле) и фальсифицирует веб-сайт, делая такие неприятные вещи, как кража данных и т. д. и т. д.?

1

ssl security domain certificate x509

Источник

Round Potato 11 янв '15 в 02:21

2 ответа

Другие вопросы по тегам ssl security domain certificate x509

ceejayoz 11 янв '15 в 02:28 2015-01-11 02:28 · Answer 1 · 2015-01-11 02:28

Продавцы SSL не будут продавать вам сертификат для PayPal.com. Весь смысл сертификационных органов состоит в том, чтобы организации отвечали за проверку того, что вы контролируете данный домен.

Связанный вопрос включает в себя два разных сертификата SSL, но оба для example.com, Оба сертификата потребуют от лица, запрашивающего их, продемонстрировать контроль над example.com до того, как их сгенерирует CA.

E-Rock 22 янв '15 в 23:41 2015-01-22 23:41 · Answer 2 · 2015-01-22 23:41

Конечно, вы можете сделать это. Вы не сможете получить публичный центр сертификации, чтобы выдать его вам, если только вы не являетесь владельцем домена. Однако вы можете использовать созданный вами сертификат, и если вы сможете заставить клиента доверять вашему сертификату или используемому вами ЦС, они не получат никаких ошибок при его использовании. Вот как работают некоторые корпоративные прокси, чтобы они могли сканировать трафик HTTPS.

scuba_mike 30 ноя '19 в 14:49 2019-11-30 14:49 · Answer 3 · 2019-11-30 14:49

Технически, но не практически, вы можете купить сертификат на paypal.com. Я перейду к практическим вопросам позже, но давайте на мгновение предположим, что вы это сделали.

Затем вам необходимо установить этот сертификат на свой сервер. Поскольку у вас нет paypal.com, у вас, вероятно, есть, скажем, paypall.com, надеясь, что ваши посетители не заметят две буквы L.

Как только посетители посетят ваш сайт, они получат предупреждение о том, что сертификат не соответствует URL-адресу. Хотя браузеры дают пользователям возможность продолжить, предупреждение выглядит пугающе и не позволяет большинству людей продолжить.

Структура сертификата похожа на двухфакторную аутентификацию:

ЧТО У ВАС: Закрытый ключ к сертификату
ЧТО ВЫ: URL

Если у вас нет обоих, у вас будут ошибки.

А теперь практические советы: ни один уважаемый центр сертификации не продаст вам сертификат PayPal.com без соответствующей документации. Каждый центр сертификации проходит строгий процесс проверки, чтобы убедиться, что вы являетесь владельцем домена и являетесь тем, кем себя называете. Даже бесплатный инструмент SSL Let's Encrypt проверяет, что вы владеете доменом, либо проверяя настройки DNS, либо открывая ваш сайт их поисковым роботом.