¿Cómo pueden los proveedores de SSL limitar la cantidad de servidores en los que se pueden instalar?

11

Recientemente he comprado un certificado SSL y dice que está limitado a tres servidores. Seguramente si tengo la clave y el certificado en varios servidores (más de 3), ¿el SSL seguirá siendo válido? ¿Puede alguien aclarar por qué / cómo los proveedores pueden limitar esto? Un ejemplo de uno de ellos es 123-reg's 123-SSL (que es una reventa de AlphaSSL).

    
pregunta Alex Blundell 29.03.2014 - 15:34
fuente

1 respuesta

15

No hay razones técnicas para tal límite, es puramente licenciamiento (es decir, ingresos y mantenimiento segmentación del mercado ). Hay algunas consideraciones relacionadas con la transferencia segura de la clave entre sistemas cuando hace esto, pero esto se soluciona fácilmente.

Si viola la licencia o los términos de un acuerdo, se arriesga (al menos) a que se revoque su certificado.

Ellos (el CA / revendedor) podrían ser capaces de decir cuántos servidores tiene:

  • inspeccionar su sitio en busca de signos de equilibrio de carga (por ejemplo, firmas de servidores diferentes o encabezados de etiquetas electrónicas), o incluso simplemente varios registros DNS A
  • monitorear Grapado OCSP y registrar las IP de origen y la frecuencia de las solicitudes, en el caso improbable de que lo tenga configurado

Sin embargo, ninguno de los métodos es confiable y concluyente.

Es posible poner direcciones IP públicas en los certificados , aunque algunas CA no lo admiten ( por ejemplo, GoDaddy ). Esto no se usa comúnmente en los certificados "web" estándar. Tal "nombre" solo es verificado por los navegadores si la URL contiene una dirección IP en la parte del host (es decir, el navegador no verifica ambos IP y DNS para las URL que contienen nombres DNS). Los servidores web no suelen comprobar los certificados que presentan tan bien como un navegador, y suponen que el administrador sabe lo que están haciendo. Incluso si esto funcionara como un método para limitar el uso simultáneo causando errores en el navegador (visibles por el usuario), solo sería efectivo si todos los servidores tuvieran direcciones IP públicas (sin NAT o proxy de front-end / equilibrador de carga).

    
respondido por el mr.spuratic 29.03.2014 - 16:11
fuente

Lea otras preguntas en las etiquetas