2009/3/16 William Maddler: > On 16/03/2009 09:00, Luca Berra wrote: [...] >> puoi anche mettere come CN *.domain.com, questo crea un certificato che >> viene accettato per tutti gli host del dominio. > > Per i certificati wildcard, comunque, il costo e` di qualche centinaio di > euro tipicamente. Sempre parlando di certificati rilasciati da CA > riconosciute. > Quelli multidominio, normalmente, costano qualcosa in meno. [...]
A parte l'onere economico, il reale supporto dei browser per questo tipo di certificati è abbastanza "intermittente". Da RFC, dovrebbero essere accettati anche wildcard in posizioni "strane" come stringa*.dominio.com, o *stringa.dominio.com - in pratica questo viene accettato in modo diverso da diversi browser. Si può anche voler considerare le implicazioni di sicurezza dell'utilizzo di questi certificati (per esempio noi abbiamo limitato questo utlizzo per policy - consentiamo per esempio di solito *.terzolivello.dominio.com, ma non *.dominio.com). Per finire, questo sicuramente non funziona con molte applicazioni software, o con i browser di molti terminali mobili. Funziona soltanto in pratica con alcuni "classici" browser da PC ed in modo differente. Il modo "pulito" sarebbe quello di usare il Subject Alt Name (ma anche questo, è supportato soltanto nei browser più nuovi...) Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
