Paolo Marchiori: > ...chi te lo firma deve supportarlo... e questi credo siano i certificati > multi-domain.
Il subject alternative name (detto anche SAN dimostrando il limite degli acronimi a tre caratteri) è una proprietà della versione 3 di x509; è sufficiente che il certificato emesso sia di questa versione per supportare i nomi multipli. Ovviamente questo tipo di configurazione è contraria agli interessi di una società che vende certificati per cui in genere viene messo un limite applicativo al numero di SAN inseriti in richiesta. Oltre al DNSName, tanto per tornare all'argomento originale, il SAN supporta anche l'IP Address, ma come è stato detto finora è una caratteristica che, per certificati SSL, non ha molto senso. Normalmente un SSL è associato ad un servizio http esposto al pubblico che in genere non chiama il server tramite IP Address. Diverso è il discorso per attivazione del canale SSL su LAN, potrebbe esistere la necessità (molto remota a dire il vero) di dover chiamare un sistema identificandolo con l'IP Address: un esempio potrebbe essere la comunicazione tra apparati di rete. Marco Ermini wrote: > (ci sono vecchie versioni di IE e Mozilla che non sono esattamente "ligie al > dovere" e risalgono al massimo un paio di "parents"... sic!) O che non controllano la basic costrain, come dimostrato più volte e ultimamente al black hat. Elettrico wrote: > io sapevo che un certificato ssl deve essere legato ad un indirizzo ip, per > cui il legame dominio:ip dovrebbe essere 1:1 Probabilmente ti riferisci ad un altro concetto di base dell'impiego SSL per i web server. Un certificato SSL, come detto, è legato al subject name e/o al SAN. Una volta che hai ottenuto il certificato e lo utilizzi, ad esempio, su un web server, l'indirizzo IP associato a quell'FQDN del dominio si mette in ascolto sulla porta 443 (di norma). E' questa associazione che ti richiede un indirizzo IP per ogni dominio protetto da SSL e non il certificato. Ciao, M. Castiglioni
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
