No estoy seguro de qué términos de Google usar para encontrar la respuesta, así que pensé que lo pediría aquí, presentado como un escenario:
Supongamos que tiene una entidad corporativa (Ejemplo Co) con un certificado SSL comodín emitido para * .example.com. Tienen un contrato con un proveedor de SaaS y solicitan que el proveedor de SaaS use un dominio personalizado: saas.example.com.
El proveedor de SaaS crea su propia clave privada (no compartida con Example Co), genera un CSR y lo pasa a Example Co., quien luego lo firma con su CA y lo devuelve al proveedor de SaaS para su uso en producción .
Más tarde ese año, la clave privada para el certificado de comodín de Example Co está comprometida, pero no lo saben (por lo que no la revocan). Si los ladrones se conectan con manas en el medio a saas.example.com y presentan el certificado de comodines, ¿el cliente que recibe al hombre en el medio recibirá algún tipo de advertencia relacionada con SSL de su navegador?