OVH Community, votre nouvel espace communautaire.

Informations liées à l'activation de SSL pour pro2014


karnabal
06/02/2017, 16h43
Bonjour,

J'ai souscrit à l'offre pro2014, et j'ai les sites web www.example.com, www.blog.example.com, www.example2.com, pour lesquels j'ai voulu mettre en place un mode de connexion sécurisé. www.example.com est mon domaine principal. Je possède aussi le site web www.example3.com que j'administre du même endroit.

Dans le manager, j'ai créé un certificat pour l'ensemble des domaines, à partir du domaine principal, soit de www.example.com. C'était, en apparence, plus simple que de créer un certificat pour chacun des sites. Du coup, www.example3.com s'est retrouvé avec le SSL d'activé.

Actuellement, quand je vérifie sur www.ssllabs.com la validité du certificat SSL de www.example2.com, j'obtiens en "subject" et "common names" le domaine www.blog.example.com . En "alternative names", j'obtiens non seulement tous les autres sites, mais aussi les sous-domaines qu'il m'a fallu créer pour exploiter le multisite d'OVH. Ainsi, il est facile pour un tiers de découvrir la totalité des sites web que j'administre via le domaine principal : www.blog.example.com, example2.example.com, example3.example.com. Je m'attendais à ce que le certificat soit délivré au domaine correspondant au site web courant (certificat pour www.example2.com délivré à www.example.com).

1. Pourquoi le certificat est-il délivré à www.blog.example.com, plutôt qu'au domaine principal www.example.com ?

2. Comment puis-je me prémunir de la divulgation des informations que j'ai pu récupérer via des services comme www.ssllabs.com, ou qu'un tiers pourrait récupérer par "tout autre moyen" ?

3. Est-ce que j'aurais intérêt à désactiver le SSL sur le domaine principal (depuis les informations générales), et à réactiver le SSL domaine par domaine ? Si oui, y a-t-il des risques ?

Merci pour votre aide !