Estamos discutiendo con nuestro departamento de Operaciones sobre certificados SSL comodín. Nuestro propósito es prohibir todos los certificados de comodines (como * .domain.com) para aplicaciones web expuestas a Internet debido a sus posibles riesgos de seguridad, al menos en el entorno de producción.
Al no tomar en consideración los costos asociados con la compra de certificados (uno por aplicación web), afirman que la solución no es viable porque todos los certificados SSL se administran en el equilibrador de carga.
No tengo experiencia en la gestión del equilibrador de carga; Supongo que es como una configuración de Apache con más de un host virtual, cada host virtual con su certificado (es decir, enlace ). Una noticia reciente de Akamai dice que SNI es ampliamente adoptado ( enlace ) .
¿Cuáles son las dificultades reales en la administración de muchos certificados en un equilibrador de carga?
¿Existen algunas mejores prácticas de fuentes autorizadas?