複数のSSL証明書で同じサブドメインを保護できますか？

Question

私はAWSのACMを使用して考えていたが、それはそれと思われElastic Beanstalkではwww.learningdollars.comとdev.learningdollars.com上で実行中のアプリと私はgitlab.learningdollars.com

上で実行されているgitlabのUbuntuのインスタンスを持っていgitlabインスタンスではなく、（configセクションのロードバランサを介して）弾力のあるbeanstalkアプリケーションでのみ動作します。

だから私は、AWS ACMで* .learningdollars.comを登録し、私はそれがgitlabをカバーしてAWS ACMの証明書が* .learningdollars.comをカバーgitlab.learningdollars.com

技術のためのGoDaddyやdigicertから証明書を購入しています.learningdollars.comしかし、私はそれを使用することはできませんので、生のファイルにアクセスすることはありません。

私は上記の手順で問題が発生するか、それとも問題ありませんか？

Answer 1

まあ、証明書は、ドメイン名が証明書の所有者（つまりあなた）に属しているという証明書発行者の宣言に過ぎません。つまり、異なる発行者の同じドメイン名に対して複数の証明書を持つことができます。イベントが完全に同じドメイン名である場合（「gitlab.learningdollars.comに対してdigicertとgodaddyから独立した証明書を持つことができ、両方が有効です」のように）

これは、さまざまな機関や国の写真付き身分証明書によく似ています。例えば、パスポートと運転免許証。 1つを持つことは別のものを無効にしません。 したがって、ブラウザは認証チェーンのみを検証します。同じドメイン名に対して他の証明書が存在するかどうかをチェックしようとする人さえいません（実際には一般的に可能であるとは思いません）。

技術的に正しい状況であるにもかかわらず、同じ発行者からの交差証明書を取得する場合にのみ注意してください。多くの発行者は競合する証明書を自動的に無効にします（代わりに新しい証明書を使用すると仮定します）。

これまでに、ロードバランサを使用するだけで実際にBeanStalkの外でACM証明書を使用できることを明確にしたいと思います。私は、サードパーティの証明書が私にかかってしまうほどコストがかかります。しかし、httpsのセキュリティ問題（私たちは暗号のリストを見直したり更新したり、新しいバージョンのopensslでサーバーを再構築しているなど）の後で私の見ている負荷を取り除いています。私は、Load Balancerが非常に人気の高いサイトでは大幅にコストがかかるかもしれないと理解しています。それで、あなたはあなたの数学を行います。