¿Qué sucede si tengo un certificado basado en la dirección y un certificado basado en el dominio cargando recursos HTTPs en segundo plano? ¿Cambiará esto el Logo de bloqueo en la barra de direcciones del navegador?
¿Un certificado basado en la dirección tiene ventajas reales sobre los basados en el dominio que no sean de naturaleza cosmética, donde un internauta puede verificar el propietario de un sitio web con sus propios ojos?
Creo que este es un comportamiento indefinido para los navegadores (ya que no está definido cómo manejar esta situación) Estoy asumiendo que con el certificado basado en la dirección un certificado de nombre de dominio completo (como en la URL: //Machine.Domain.TLD) y con un certificado basado en el dominio un certificado de dominio comodín (como en la URL: //.Dominio.TLD).
Todos los navegadores que conozco por ahora asumen el siguiente comportamiento: - Obtenga los certificados para la página "principal" (es decir, el archivo index.html u otro archivo solicitado directamente) - Utilice este certificado para "establecer" la barra de direcciones seguras (por ejemplo, el símbolo de "bloqueo") - Verifique que NO se haya realizado ninguna solicitud HTTP, si es así, cambie al símbolo de 'bloqueo' roto. - otra solicitud puede ir a cualquier ubicación HTTPS, no hay barreras de dominio además de las normales para HTTP.
En cuanto a tu segunda pregunta. Esto depende del riesgo y el propósito. un certificado comodín es más caro, pero se puede utilizar en más de 1 servidor. sin embargo. porque se usa en más de 1 lugar, lo que también significa que el secreto se conoce en más de 1 lugar (la clave privada), lo que lo convierte en un mayor riesgo de robo. y como todos los subdominios califican, un atacante puede UTILIZAR su certificado para lo que quiera sin que interfiera en su sitio (es decir, más difícil de detectar el uso indebido). Además, el certificado no identifica de forma única una "máquina", lo que significa que para las aplicaciones críticas no he creado un anclaje de empuje completo (falta la última cadena).
Por lo tanto, un certificado de FQDN identifica una "máquina" directamente y solo tiene un lugar donde se guarda el secreto, lo que dificulta el mal uso y también significa que las cadenas de identidad y seguridad se ejecutan hasta la "máquina".
Si un "surfista" puede verificar que el propietario de un sitio web está completamente a la altura de la habilidad y el conocimiento del surfista. la mayoría ni siquiera comprueba el símbolo de bloqueo. (Aún debe implementar HTTPS por razones de espionaje, seguridad y secuestro)
Lea otras preguntas en las etiquetas tls certificates