Чи є причина безпеки, щоб не використовувати символічну скриньку, відмінну від керованості та експлуатації, якщо вона використовується на декількох серверах?

У мене є радник з питань безпеки, який мені каже, що ми не можемо використовувати символи SSC wildcard з міркувань безпеки. Щоб було зрозуміло, я віддаю перевагу використанню односвіткових або багатодоменних certs (SAN). Однак у нас є потреба в сервері (plesk) для сервера 100s субдоменів.

На основі мого дослідження основною причиною того, що люди не користуються символом підстановки, є наступне, яке, як видається, походить від verisign:

Безпека: Якщо один сервер або піддомен порушений, всі субдомени можуть бути порушені.
Управління: Якщо сертифікат підстановки потрібно відкликати, для всіх субдоменів потрібен новий сертифікат.
Сумісність: Сертифікати Wildcard можуть не працювати безперебійно зі
старими конфігураціями сервер-клієнт.
Захист: Сертифікати VeriSign Wildcard SSL не захищені розширеною гарантією NetSure.

Оскільки приватний ключ, cert та субдомен всі будуть існувати на одному сервері ... заміна буде такою ж простою, як замінити цей один cert та матиме таку ж кількість користувачів. Тому є ще одна причина, щоб не використовувати підстановку cert?

security ssl https

— Сіра гонка
джерело

Лінія завжди сіра, але більше для вашої користі, це може дуже добре відповідати на IT Security SE. Ці хлопці також матимуть чудову інформацію. Просто думка.

— Univ426

Чи можуть кілька субдоменів (хости в одному домені) спільно використовувати одну і ту ж IP-адресу, коли під доменним символом? Я ніколи не перевіряв цього раніше, але якщо вони можуть, це може бути виправданням для використання символу wildcard, щоб уникнути необхідності використання стільки IP-адрес. Інакше я вважаю це економією витрат на сертифікат в обмін на диск експозиції (вищий, якщо він розповсюджений на багатьох машинах).

— Скаперен

@Skaperen, так, за допомогою сертифікату підстановки ви можете розміщувати безліч різних сайтів під одним IP.

— Зоредаче

Пам'ятайте, що IP-адреса не відображається в сертифікаті SSL.

— Стефан Ласевський

Радник з питань безпеки поступився, коли я представив свою справу, і він не міг придумати вагомих причин, тому що ми її виділили на одному сервері / службі.

— Сіра гонка

Відповіді:

Єдиний інший 'gotcha', про який я знаю, - це те, що сертифікати Extended Validation не можуть бути видані за допомогою підстановки , тому це не варіант, якщо ви збираєтесь отримати сертифікат EV.

З точки зору безпеки, ви вдарили цвяхом по голові - єдиний приватний ключ захищає всі домени, які знаходяться під підстановкою. Так, наприклад, якщо у вас був багатодоменний сертифікат SAN, який охоплював www.example.comі something.example.comотримував компрометацію, тільки ці два домени загрожують атаці компрометованим ключем.

Однак, якщо та ж система була замість запуску *.example.comсертифіката для SSL трафіку ручки для wwwі somethingсубдоменів і були скомпрометовані, то все покрито що підстановочні потенційно схильні до ризику, навіть послуги поширював безпосередньо на цьому сервері - скажімо, webmail.example.com.

— Шейн Медден
джерело

Чи не правда, що деякі з представників CA пропонують спосіб створити багато сертифікатів для одного і того ж сертифікату? Іншими словами, вони дозволяють отримати багато різних приватних / відкритих пар ключів для одного підключеного символу домену, таким чином, що один приватний ключ порушений не викликає жодних проблем для інших.

— Девід Сандерс

Безпека: Якщо один сервер або піддомен порушений, всі субдомени можуть бути порушені.

Якщо ви використовуєте один веб-сервер для своїх сотень віртуальних хостів, тоді всі приватні ключі повинні бути прочитані цим процесом веб-сервера. Якщо людина може скомпрометувати систему до певної точки, якщо вона змогла прочитати один ключ / сертифікат, то, ймовірно, вже скомпрометувала систему до тієї точки, де вона може схопити всі приватні ключі / сертифікати, які використовує цей веб-сервер.

Клавіші, як правило, зберігаються у файловій системі з привілеями, які дозволять root отримати доступ лише до них. Тож якщо ваша система вкорінена, то ви, мабуть, все втратили. Насправді не важливо, чи є у вас один або декілька центрів.

Управління: Якщо сертифікат підстановки потрібно відкликати, для всіх субдоменів потрібен новий сертифікат.

Якщо ви використовуєте підстановку для * .example.org, вам потрібно замінити лише один сертифікат. Якщо у вас є сертифікат для one.example.org, two.example.org і three.example.org, вам доведеться замінити 3 сертифікати. Тож сертифікат підстановки - це менше роботи. Так, так, цей серт буде відкликаний і замінений, але оскільки вам потрібно замінити лише один замість сотні, це має бути дуже просто.

Сумісність: Сертифікати Wildcard можуть не працювати безперебійно зі старими конфігураціями сервер-клієнт.

Ці системи майже напевно потребують оновлення. Вони майже напевно мають багато інших вразливих місць.

— Зоредаче
джерело