Estoy tratando de entender las implicaciones de la pérdida de la clave privada (debido a Heartbleed) de un sitio web que usa un certificado comodín.
Si una organización tiene un certificado comodín (válido para * .domain.tld), ¿significa que todos los sitios que usan este certificado tendrán que compartir la misma clave privada?
PUEDEN usar el mismo certificado para cualquier * .domain.tld. Sin embargo, el problema con errores como Heartbleed es que, en caso de que adquiera la parte privada del certificado, podrá interceptar (leer / modificar) cualquier * .domain.tld tráfico SSL / TLS y realmente no importa. cuál es el certificado utilizado originalmente (a menos que se aplique HPKP ).
Lea otras preguntas en las etiquetas public-key-infrastructure tls heartbleed