---

Hej igen,

Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
pr. domæne eller kan jeg nøjes med et certifikat når nu det er på den
samme maskine?

Jeg synes at kunne læse mig til at det er 1 certifikat pr. domæne, men
har ikke set det stående eksplicit nogen steder.

--
Med venlig hilsen
Jacob Atzen

---

Jacob Atzen wrote:
> Hej igen,
>
> Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> pr. domæne eller kan jeg nøjes med et certifikat når nu det er på den
> samme maskine?
>
> Jeg synes at kunne læse mig til at det er 1 certifikat pr. domæne, men
> har ikke set det stående eksplicit nogen steder.

Hvis ikke du har et certifikat for hvert domaene vil webbrowseren brokke
sig over det (at certifikatet aabenbart er udstedt til en anden end den
du forsoeger at forbinde til). Men forbindelsen vil stadig vaere
krypteret.


--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

Ole Michaelsen <omic+usenet4@fys.ku.dk> writes:

> Hvis ikke du har et certifikat for hvert domaene vil webbrowseren brokke
> sig over det (at certifikatet aabenbart er udstedt til en anden end den
> du forsoeger at forbinde til). Men forbindelsen vil stadig vaere
> krypteret.

Tak for hjælpen.

--
Med venlig hilsen
Jacob Atzen

---

Jacob Atzen wrote:

> Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> pr. domæne eller kan jeg nøjes med et certifikat når nu det er på den
> samme maskine?

Certifikater udveksles når den krypterede forbindelse etableres - d.v.s.
inden der sendes nogen HTTP data, og dermed inden web-serveren ved hvilket
site, man prøver at komme i kontakt med.
Derfor må man leve med ét certifikat for alle sites (giver
"browser-brok" når certifikat ikke passer til domæne) eller give hvert
site sin egen IP-adresse.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

On 03 Apr 2003 12:33:32 +0200, Jacob Atzen <jacob@aub.dk> wrote:

> Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> pr. domæne

Ikke per domæne men per FQDN (eller 'hostnavn', om du vil, altså
den host browseren tror den snakker med).

Så hvis du har www.foo1.dk og webmail.foo1.dk, så skal du også
have to forskellige certifikater.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:
>
> On 03 Apr 2003 12:33:32 +0200, Jacob Atzen <jacob@aub.dk> wrote:
>
> > Hvis nu jeg hoster sites for 3 forskellige domæner på min webserver,
> > f.eks. foo1.dk, foo2.dk og foo3.dk. Skal jeg så have et certifikat
> > pr. domæne
>
> Ikke per domæne men per FQDN (eller 'hostnavn', om du vil, altså
> den host browseren tror den snakker med).
>
> Så hvis du har www.foo1.dk og webmail.foo1.dk, så skal du også
> have to forskellige certifikater.

Ville det ikke være smartere, hvis et certifikat for foo1.dk
kunne bruges til alle navne derunder, og samtidig også til at
certificere underdomæner, hvis man gerne vil have seperate
certifikater? Jeg kan ikke se nogen grund til, at man ikke
skulle tillade chains a certifikater så længe de følger navnet.
(Altså lige bortset fra, en standard, der ikke tillader det
og nogle CA'er, der vil kradse så mange penge ind som muligt.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Ville det ikke være smartere, hvis et certifikat for foo1.dk
>kunne bruges til alle navne derunder, og samtidig også til at
>certificere underdomæner, hvis man gerne vil have seperate
>certifikater?

Hvad med webhoteller der sælger 3rd level domains?

Hvis www.flisebutik.webhotel.dk er et hit, kunne en ondsindet
mand jo lave www.filsebutik.webhotel.dk og "proxye" al trafik
til det rigtige site. Lige bortset fra at han undervejs hugger
kreditkortoplysninger.

Sikkerhedsmæssigt er det helt fjong, for certifikatet på de
to er det samme.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >Ville det ikke være smartere, hvis et certifikat for foo1.dk
> >kunne bruges til alle navne derunder, og samtidig også til at
> >certificere underdomæner, hvis man gerne vil have seperate
> >certifikater?
>
> Hvad med webhoteller der sælger 3rd level domains?
>
> Hvis www.flisebutik.webhotel.dk er et hit, kunne en ondsindet
> mand jo lave www.filsebutik.webhotel.dk og "proxye" al trafik
> til det rigtige site. Lige bortset fra at han undervejs hugger
> kreditkortoplysninger.

Hvis de to kører på samme IP addresse, og hostnavnet overføres
over den sikre linie, kan angrebet ikke lade sig gøre. Hvis de
to skelnes på IP addresse kan angrebet godt lade sig gøre, men
så kunne man til gengæld have lavet to forskellige certifikater
der hver især var certificeret af certifikatet for foo1.dk.

Så jeg må give dig ret i, at man skal passe på med at lade samme
certifikat blive brugt af flere underdomæner. Men jeg ser stadig
intet problem i kæder af certifikater.

>
> Sikkerhedsmæssigt er det helt fjong, for certifikatet på de
> to er det samme.
>
> Mvh.
> Klaus.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

On Fri, 04 Apr 2003 09:52:49 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Ville det ikke være smartere, hvis et certifikat for foo1.dk
> kunne bruges til alle navne derunder, og samtidig også til at
> certificere underdomæner, hvis man gerne vil have seperate
> certifikater?

Mjo.

> Jeg kan ikke se nogen grund til, at man ikke skulle tillade
> chains a certifikater så længe de følger navnet. (Altså lige
> bortset fra, en standard, der ikke tillader det og nogle CA'er,
> der vil kradse så mange penge ind som muligt.)

There you go.

-A
--
http://www.hojmark.org/

---

Hejsa,

> > Jeg kan ikke se nogen grund til, at man ikke skulle tillade
> > chains a certifikater så længe de følger navnet. (Altså lige
> > bortset fra, en standard, der ikke tillader det og nogle CA'er,
> > der vil kradse så mange penge ind som muligt.)

> There you go.

Well, det er ikke alle CA'er der er lige pengegriske:

http://www.qualityssl.com/en/products/qualityssl_wildcard.html

Mener også at Thawte og/eller Entrust har udbudt noget lignende
tidligere (eller stadig gør det).

--
Jens Kristian Søgaard, Mermaid Consulting ApS,
jens@mermaidconsulting.dk,
http://www.mermaidconsulting.com/

---

On Thu, 10 Apr 2003 23:15:40 +0200, "Jens Kristian Søgaard"
<jens@mermaidconsulting.dk> wrote:


>Mener også at Thawte og/eller Entrust har udbudt noget lignende
>tidligere (eller stadig gør det).

thawte gør ikke i al fald... de henviser i stedet til deres noget
dyrere moder NetSol

OpenSRS tilbyder wildcard-certs (men det ved du vel :)

--
vh
Thomas Jensen,
Seneste nyhedsbrev:
http://pil.dk/nyhedsbreve/2003februar.php

---

"Jens Kristian Søgaard" <jens@mermaidconsulting.dk> writes:

> Well, det er ikke alle CA'er der er lige pengegriske:
>
> http://www.qualityssl.com/en/products/qualityssl_wildcard.html

Det ser ret interessant ud. Er certifikater derfra "trusted"
automatisk i de gængse browsere ligesom f.eks. Verisigns? Findes der
nogen, der tilbyder noget tilsvarende i Danmark?

Det kunne være rart at undgå at folk får den sikkerhedsadvarsel man
får når man besøger sites med ikke-trustede certifikater.

--
Med venlig hilsen
Jacob Atzen