子域的不同SSL/TLS证书

Question

我在托管/维护的几个域上启用了HSTS，而且我使用的是来自提供者的免费验证证书，它只允许对根和证书上的一个子域进行加密。它们将允许为给定域生成多个证书；但是，所有证书都受根+一个子域策略的约束。

为主机配置多个证书(一个用于根+ www，每个子域将有自己的根+ subdomain证书)是否存在安全问题？我特别好奇这会不会是HSTS的问题。维基百科声明 (浏览器)强制使用HTTPS连接，b)不允许绕过HTTPS连接，因此在我看来，这对HSTS来说不是问题。

我知道这样的设置可能会导致人们对网站产生怀疑，但我使用证书纯粹是为了数据加密--如果我没有寄存其他人使用的东西，我会使用通配符的自签名证书。

(我一直坚持到9月份让我们加密发布，所以我现在不打算购买通配符SSL证书。)

Answer 1

1)不存在安全问题。您只有更多的私钥，只要它们不被泄露，这些密钥是安全的。

2)对于HSTS，只要每个子域都有自己的证书，即信任证书，不撤销证书，不存在名称不匹配，就不会有问题。