cloudflare и сертификаты ssl*.cloudflare.com

Почему сертификаты выданные на имя ssl*.cloudflare.com принимаются как валидные? Например https://ghost.org имеет сертификат ssl*.cloudflare.com, но браузер не ругается на не соответствие домена и сертификата. Как это достигается?

Комментарии

— SATtva (09/10/2014 16:47)
В интернете уже вроде достаточно на эту тему написано во всех подробностях (например^[link1]).

— Гость (09/10/2014 16:57)
Помимо CN у сертификата бывает alt name. У конкретно этого такой список:

DNS Name: ssl2599.cloudflare.com
DNS Name: getresponse.com
DNS Name: bergquistphotography.com
DNS Name: *.ghost.org
DNS Name: *.bergquistphotography.com
DNS Name: *.getresponse.com
DNS Name: *.clickmeeting.pl
DNS Name: clickmeeting.pl
DNS Name: *.healthendeavors.com
DNS Name: ghost.org
DNS Name: justinpaine.com
DNS Name: *.justinpaine.com
DNS Name: healthendeavors.com

— Гость (09/10/2014 19:26)

> В интернете уже вроде достаточно на эту тему написано во всех подробностях

Супер. Сливаем CloudFlare сессионные ключи для каждой SSL-сессии, превращая SSL в тыкву. Т.е. приватный ключ не отдаётся, но сервер может им пользоваться как своим (расшифровывать, что хочет).

— Гость (18/10/2014 23:48)
CloudFlare must die.

За ним прячутся от дидоса хорошие вещи (feedly — лучший, на мой взгляд, облачный наследник Google Reader'а), quantamagazine, иногда evernote и т.д.

Все известные экситы Tor'а CloudFlare заворачивает на капчу. Капча работает через раз. Цепочка меняется — вводи заново.

VPN становится необходимостью.

Ссылки

^[link1] http://arstechnica.com/information-technology/2014/09/in-depth-how-cloudflares-new-web-service-promises-security-without-the-key/

openPGP в России

cloudflare и сертификаты ssl*.cloudflare.com