Могут ли несколько SSL-сертификатов защитить один и тот же поддомен?

Question

Могут ли несколько SSL-сертификатов защитить один и тот же поддомен?

У меня есть эластичные приложения beanstalk, работающие на www.learningdollars.com и dev.learningdollars.com, и у меня есть экземпляр gitlab ubuntu, работающий на gitlab.learningdollars.com

Я думал об использовании AWS ACM, но кажется, что он будет работать только для приложений с эластичным beanstalk (через балансировщик нагрузки в разделе конфигурации), а не для экземпляра gitlab.

Поэтому я зарегистрировал *.learningdollars.com в AWS ACM и покупаю сертификат у godaddy или digicert для gitlab.learningdollars.com

Технически сертификат AWS ACM распространяется на *.learningdollars.com, поэтому он охватывает gitlab.learningdollars.com, но у меня нет доступа к необработанному файлу, поэтому я не могу его использовать.

Так возникнут ли у меня проблемы с вышеуказанными шагами или они в порядке?

1

amazon-web-services ssl gitlab aws-certificate-manager

Источник

user1194050 22 июн '16 в 07:42

1 ответ

Решение

Другие вопросы по тегам amazon-web-services ssl gitlab aws-certificate-manager

user6375498 22 июн '16 в 08:48 2016-06-22 08:48 · Accepted Answer · 2016-06-22 08:48

Ну, сертификат - это просто декларация эмитента сертификата о том, что упомянутое доменное имя принадлежит владельцу сертификата (то есть вам). Итак, да, вы можете иметь несколько сертификатов для одного и того же доменного имени от разных эмитентов. Событие, если это одно и то же доменное имя (например, "у вас могут быть независимые сертификаты от digicert и godaddy для gitlab.learningdollars.com, и они оба будут действительны").

Это больше похоже на удостоверение личности с фотографией из разных учреждений или стран. Например, паспорт и водительские права. Наличие одного не делает недействительным другого. Таким образом, браузеры проверяют только цепочку сертификации. Никто даже не пытается проверить, существуют ли другие сертификаты для того же доменного имени (на самом деле, я не верю, что это вообще возможно).

Вы должны быть осторожны только с получением пересекающихся сертификатов от одного и того же эмитента, поскольку, хотя это технически правильная ситуация, многие эмитенты автоматически аннулируют конфликтующие сертификаты (при условии, что вы будете использовать вместо этого новый сертификат).

Сказав это, я хотел бы уточнить, что вы можете использовать сертификат ACM вне beanstalk, просто используя балансировщик нагрузки. Я считаю, что это стоит примерно столько же, сколько сторонний сертификат будет стоить мне. Но это также отнимает у меня некоторую нагрузку, когда я наблюдаю за проблемами безопасности https (например, просматривая и обновляя список шифров или перестраивая сервер с более новой версией openssl). Я понимаю, что Load Balancer может стоить значительно дороже для очень популярного сайта. Итак, вы делаете свою математику.