Voici notre situation (aseptisé):Cookies partagés par un certificat générique et un certificat spécifique au site sur différentes autorités de certification?
- Nous avons un certificat générique pour * .foo.com - CA est "CA primaire"
- Nous envisageons d'ajouter SaaS d'un fournisseur. Nos exigences indiquent que l'URL du site SaaS du fournisseur doit être bar.foo.com.
- Bien que nous puissions émettre un certificat générique * .foo.com distinct de «CA principal» spécifiquement pour le site SaaS de ce fournisseur, le fournisseur n'est actuellement pas prêt à prendre en charge l'hébergement de ce certificat générique distinct. Au lieu de cela, le fournisseur se chargera lui-même d'obtenir un certificat SSL spécifique au site pour bar.foo.com - potentiellement issu d'une autorité de certification autre que "CA principale".
- Notre concept actuel est de transmettre des informations entre deux sites utilisant des cookies, ainsi que les appels JavaScript:
- www.foo.com avec le certificat générique mentionné ci-dessus de « primaire CA »
- bar.foo. com avec le fournisseur fourni un certificat SSL spécifiques - le plus probable d'une autre CA
questions:
- En théorie, bar.foo.com doit être couvert par le certificat générique. Est-ce que cela amènera les navigateurs à rejeter le certificat spécifique au site fourni par le fournisseur pour bar.foo.com? Étant donné que les certificats pour www.foo.com et bar.foo.com proviendront de deux autorités de certification, serons-nous en mesure de transmettre des cookies et d'utiliser les appels JavaScript entre les deux sites sans que les navigateurs se plaignent de problèmes inter-sites, même problèmes d'origine, etc.
Nous vous remercions de votre aide.
Notre fournisseur n'utilisera pour l'instant aucun certificat SSL que nous lui envoyons; ils généreront et utiliseront un certificat SSL spécifique au site de leur autorité de certification préférée pour bar.foo.com. Donc www.foo.com (protégé par un certificat wildcard * .foo.com de notre CA) et bar.foo.com (protégé par le certificat spécifique au site de leur CA) communiquant des données via des cookies et/ou JavaScript. Cela fonctionnera-t-il sans que les navigateurs se plaignent des problèmes inter-sites, des problèmes de même origine, etc.? –