仅适用于相关网站的UCC证书？

Question

在SSL证书提供程序上，我得到以下消息：

注意: UCC证书适用于通信服务器、Exchange和其他企业应用程序，也适用于具有多个相关URL的单个公司或实体。此证书不建议与完全独立的站点一起使用(例如，为竞争对手构建网站的网络提供商)。

我只是不明白为什么。

有人能分享点光吗？

提前谢谢你。

Answer 1

由于对companyA.com和companyB.com都有效的证书只有一个匹配的私钥，因此对于证书验证而言，控制该私钥的人可以以有效的方式为主机名提供服务。

这意味着companyA.com的服务器管理员还负责key+cert for companyB.com (因为它是相同的证书)的安全保管。

如果这两家公司或网站是同一实体的一部分，这可能会很好，但从组织和法律的角度来看，如果这些网站不属于同一管理领域的范围，这可能会变得相当复杂。这通常不利于安全的问责和行政方面。

Answer 2

这是因为UCC证书只有一个公共名称，所有SAN(证书上的其他域)总是指向同一个公共名称。许多浏览器使您可以随时获得这些信息，就像各种在线工具(如http://www.sslshopper.com/ssl-checker.html )一样--不推荐它是因为它暗示了业务之间的关联，或者对消费者来说可能会产生误导，因为域名不匹配。它破坏了SSL旨在激励的信任水平，尽管SSL的安全性和技术上的可行性也不亚于一个设置。

作为一个奇怪的例子，假设我经营一家名为IntimateHosting.com的公司，我专门为与床有关的任何事情提供托管服务。我是个床迷。床上用品商店，性玩具店，酒店，床和早餐，床单制造商等。一位购物者在LuxuryHotelA.com上，想要检查安全性，结果发现公共名称是FeatherFetish.com (我们的下舒适度销售site...just碰巧是我们建立的第一个站点，所以它是通用的名称)。进一步看，他们看到证书上的其他替代名称是LuckyLinens.com，LuxuryHotelB.com (直接竞争对手！)，一些糟糕的没有名字的汽车旅馆，我们给了它一个免费的SSL，当然还有我们自己的名字，IntimateHosting.com。

诚然，大多数人在购物时不做这么多的研究，但这就是为什么“不推荐”。