Apache a VH pro SSL -- delsi

[Jan Houstek]

Ing. Pavel PaJaSoft Janoušek wrote:
[...]
 > nebo musím do
> certifikátu vyjmenovat patřičná hostname - a certifikát je nerozšiřitelný,

Žádný certifikát není rozšiřitelný, tj. nedají se do něj ex post dodávat 
informace. Když budu mít ty SSL virtualhosty udělané tak, že bude možné 
použít pro každé jméno jiný certifikát, tak přidání nového jména znamená 
vygenerování jednoho nového certifikátu. Když budu mít společný 
certifikát, tak přidání nového jména znamená vygenerování nového 
certifikátu rozšířeného o toto jméno. Tedy srovnatelné množství práce.

Faktem je, že to není příliš škálovatelné, ale typicky se tím taky řeší 
situace, kdy má certifikát obsahovat několik málo jmen, né stovky.

> při změně počtu hostname v něm, bych musel vygenerovat nový - navíc o této
> možnosti se bavím čistě teoreticky, myslím si, že takový certifikát (s
> multi-hostname záznamem) ani vygenerovat nejde, alespoň běžnými prostředky.

V tom případě openssl není běžný prostředek.

> Poslední možnost je tzv. wildcard certifikát, kdy požaduji hostname ve tvaru
> *.<domain>.<TDL> apod. - a to je přesně případ, na který jsem narážel.

Asi není uplně rozumné používat v nepřiměřené míře wildcardy, ale pokud 
to bude jméno typu *.example.com. zavedené takto do certifikátu z 
důvodu, aby fungovalo https://example.com, https://www.example.com a 
třeba ještě https://paja.example.com, stále nevidím problém. Tedy za 
předpokladu, že uvnitř domény nepanují nepřátelské vztahy a správce 
jednoho serveru nebude využívat tento certifikát k MITM na jiný server.

> PS: A pokud je můj postoj špatný, klidně stačí - Pájo seš vůl a celý je to
> úplně jinak ty paranoiku...:-)

Pájo seš vůl a celý je to úplně jinak ty inženýre...:-)

-- Honza Houštěk