La especificación X509 permite que una CA emita un solo certificado para varios nombres de host, utilizando "Subject Alternative Name " extension.
De la especificación:
La extensión del nombre alternativo del sujeto permite vincular las identidades al sujeto del certificado. Estas identidades pueden ser incluidas además de o en lugar de la identidad en el campo sujeto de la certificado.
Esto tiene numerosos usos; en particular, considere una situación de hosting / proxy inverso, con múltiples sitios colocados. Estos sitios no se confían particularmente entre sí y no tienen ningún tipo de afiliación; simplemente están siendo alojados en el mismo servidor y, por lo tanto, comparten el mismo certificado.
¿Es esto tan arriesgado como parece?
A primera vista, diría que, dado que los sitios no son confiables entre sí, es posible que el sitio A pueda falsificar el sitio B, incluso a través de SSL, ya que el sitio A utiliza la misma clave privada que el sitioB. El DNS aún tendría que ser falsificado, pero hay varias formas de hacerlo (incluso si no son triviales).
Soy Me equivoco, ¿existe alguna otra mitigación criptográfica (u otra) que No estoy viendo aquí?