¿Existe algún problema de seguridad al usar el mismo certificado para todos los servicios de una empresa?

El uso del mismo certificado no afecta en modo alguno a la seguridad fundamental de la conexión que se establece al usarlo.

La única "debilidad" posible introducida mediante el uso del mismo certificado es que si ese certificado caduca o si se filtra, todos sus sitios se verán afectados. Dado que este certificado se encuentra en varios servidores y que algunos de ellos pueden ser servidores de prueba con menos seguridad, existe la posibilidad de que la clave privada de ese certificado se pueda filtrar o exponer inadvertidamente desde uno de estos servidores no verificados. Esto ciertamente no es una falla de la seguridad provista por el certificado, sino una falla en mantener el secreto de la clave privada del certificado.

La alternativa sería utilizar certificados separados para todos sus sitios, lo que significaría que tendría la carga administrativa de tener que renovar, proteger y monitorear múltiples certificados.

Si protege adecuadamente los datos privados de ese certificado, no hay ninguna razón por la que su uso suponga un problema de seguridad adicional.

Este modelo tiene dos puntos débiles.

1) Fuga de información. La inclusión de las URL dev / qa / etc en el certificado permite encontrar estos entornos más fácilmente. A menudo, son menos seguros que el entorno de producción real, ya que se utiliza para probar el código. Si tiene otros controles para limitar el acceso, como las ACL del enrutador / cortafuegos (o algo más), esto no es tan importante.

2) Compromiso de contención. Recomiendo encarecidamente dedicar un certificado solo para producción. Si por alguna razón su entorno dev / qa / etc se ve comprometido y se logró el acceso a la clave privada, entonces debe preguntarse si el tráfico de producción se ha visto comprometido (es decir, MITM). Los certificados SSL son muy asequibles hoy en día y, de nuevo, sugeriría dedicar un certificado solo para producción.

Como dijo @anon, el problema principal es la fuga de información. Cualquiera que vaya a cualquiera de sus sitios puede ver los nombres de todos los demás que figuran en el certificado (a menos que elija obtener un certificado comodín; sin embargo, un certificado comodín no le permitirá agregar el nivel adicional test.service... , porque el comodín no puede contener puntos en él). Si no le importa que los visitantes a service puedan ver que existen wiki , bugs , etc., entonces eso no es un problema.

En general, prefiero usar certificados autofirmados para los sitios de prueba. Eso solo da una indicación adicional de que el sitio no está en producción. Comencé a hacer esto después de recibir una cantidad de pedidos en el sitio de prueba para una tienda en línea. (El hecho de que se dijera en letras grandes y en negrita en la parte superior de cada página para no usar el sitio no parecía importar. También resultó que la mayoría de ellos eran órdenes de fraude, pero ese no es el punto). este sitio no es confiable "la ventana emergente de advertencia ayuda a las personas a dejar de intentar comprar en ese sitio.