cloudflare и сертификаты ssl*.cloudflare.com
Почему сертификаты выданные на имя ssl*.cloudflare.com принимаются как валидные? Например https://ghost.org имеет сертификат ssl*.cloudflare.com, но браузер не ругается на не соответствие домена и сертификата. Как это достигается?
Ссылки
[link1] http://arstechnica.com/information-technology/2014/09/in-depth-how-cloudflares-new-web-service-promises-security-without-the-key/
В интернете уже вроде достаточно на эту тему написано во всех подробностях (например[link1]).
Помимо CN у сертификата бывает alt name. У конкретно этого такой список:
Супер. Сливаем CloudFlare сессионные ключи для каждой SSL-сессии, превращая SSL в тыкву. Т.е. приватный ключ не отдаётся, но сервер может им пользоваться как своим (расшифровывать, что хочет).
CloudFlare must die.
За ним прячутся от дидоса хорошие вещи (feedly — лучший, на мой взгляд, облачный наследник Google Reader'а), quantamagazine, иногда evernote и т.д.
Все известные экситы Tor'а CloudFlare заворачивает на капчу. Капча работает через раз. Цепочка меняется — вводи заново.
VPN становится необходимостью.