Czy istnieje powód bezpieczeństwa, aby nie używać certyfikatu wieloznacznego innego niż zarządzanie i eksploatacja, jeśli jest używany na wielu serwerach?

9

Mam doradcę ds. Bezpieczeństwa, który mówi mi, że ze względów bezpieczeństwa nie możemy używać wieloznacznych certyfikatów SSL. Dla jasności wolę używać certyfikatów pojedynczych lub certyfikatów wielodomenowych (SAN). Jednak potrzebujemy serwera (plesk) do serwera setek subdomen.

Na podstawie moich badań główny powód, dla którego ludzie nie używają symboli wieloznacznych, jest następujący, który wydaje się pochodzić z Verisign:

  • Bezpieczeństwo: w przypadku naruszenia bezpieczeństwa jednego serwera lub subdomeny, zagrożone mogą być wszystkie subdomeny.
  • Zarządzanie: Jeśli certyfikat zastępczy musi zostać odwołany, wszystkie subdomeny będą potrzebowały nowego certyfikatu.
  • Zgodność: Certyfikaty wieloznaczne mogą nie działać płynnie ze
    starszymi konfiguracjami serwer-klient.
  • Ochrona: Certyfikaty VeriSign Wildcard SSL nie są chronione rozszerzoną gwarancją NetSure.

Ponieważ klucz prywatny, certyfikat i subdomena będą istnieć na tym samym serwerze ... zastąpienie byłoby tak proste, jak zastąpienie tego jednego certyfikatu i wpłynęłoby na tę samą liczbę użytkowników. Dlatego jest jeszcze jeden powód, aby nie używać certyfikatu z symbolami wieloznacznymi?

security ssl https Gray Race
źródło
Linia jest zawsze szara, ale dla większej korzyści może to być bardzo dobre dla IT Security SE. Ci faceci też będą mieli świetne informacje. Tylko myśl.
Univ426,
Czy wiele subdomen (hostów w tej samej domenie) może współdzielić ten sam adres IP w domenie wieloznacznej? Nigdy wcześniej tego nie sprawdzałem, ale jeśli mogą, wydaje się to uzasadnieniem dla użycia certyfikatu wieloznacznego, aby uniknąć konieczności używania tak wielu adresów IP. W przeciwnym razie postrzegam to jako oszczędność kosztów certyfikatu w zamian za dysk ekspozycji (wyższy, jeśli rozłożony na wiele maszyn).
Skaperen
@ Skaperen, tak, z certyfikatem wieloznacznym, możesz hostować wiele różnych witryn pod jednym adresem IP.
Zoredache,
Pamiętaj, że adres IP nie pojawia się w certyfikacie SSL.
Stefan Lasiewski
Doradca ds. Bezpieczeństwa ustąpił, kiedy przedstawiłem moją sprawę, i nie mógł wymyślić dobrego powodu, aby tego nie robić, ponieważ wyodrębniliśmy to do jednego serwera / usługi.
Gray Race

Odpowiedzi:

6

Jedyną inną „gotcha”, o której wiem, jest to, że certyfikaty Extended Validation nie mogą być wydawane z symbolem wieloznacznym , więc nie jest to opcja, jeśli wybierasz certyfikat EV.

Jeśli chodzi o bezpieczeństwo, trafiłeś w sedno - pojedynczy klucz prywatny chroni wszystkie domeny znajdujące się pod znakiem wieloznacznym. Na przykład, jeśli posiadasz wielodomenowy certyfikat SAN, który obejmuje www.example.comi something.example.comzostaje przejęty, tylko te dwie domeny są narażone na atak za pomocą skompromitowanego klucza.

Jeśli jednak ten sam system zamiast tego uruchomiłby *.example.comcertyfikat do obsługi ruchu SSL wwwi somethingpoddomen i zostałby przejęty, wówczas wszystko objęte tą wieloznaczną kartą jest potencjalnie zagrożone, nawet usługi nie hostowane bezpośrednio na tym serwerze - powiedzmy webmail.example.com.

Shane Madden
źródło
1
Czy nie jest prawdą, że niektóre urzędy certyfikacji oferują sposób tworzenia wielu certyfikatów dla tego samego certyfikatu wieloznacznego? Innymi słowy, pozwalają na wiele różnych par kluczy prywatny / publiczny dla certyfikatu wieloznacznego jednej domeny, tak że złamanie jednego klucza prywatnego nie powoduje żadnych problemów dla innych.
David Sanders
1

Bezpieczeństwo: w przypadku naruszenia bezpieczeństwa jednego serwera lub subdomeny, zagrożone mogą być wszystkie subdomeny.

Jeśli używasz jednego serwera WWW dla setek wirtualnych hostów, wszystkie klucze prywatne muszą być czytelne dla tego procesu serwera WWW. Jeśli ktoś może naruszyć system do tego stopnia, że ​​może odczytać jeden klucz / certyfikat, to prawdopodobnie już skompromitował system do punktu, w którym może pobrać wszystkie prywatne klucze / certyfikaty używane przez ten serwer WWW.

Klucze są zwykle przechowywane w systemie plików z uprawnieniami, które zezwalają tylko rootowi na dostęp do nich. Jeśli więc Twój system jest zrootowany, prawdopodobnie wszystko straciłeś. Nie ma znaczenia, czy masz jeden certyfikat, czy wiele.

Zarządzanie: Jeśli certyfikat zastępczy musi zostać odwołany, wszystkie subdomeny będą potrzebowały nowego certyfikatu.

Jeśli używasz symbolu wieloznacznego dla * .example.org, wystarczy zastąpić tylko jeden certyfikat. Jeśli masz certyfikat dla one.example.org, two.example.org i three.example.org, musisz zastąpić 3 certyfikaty. Więc certyfikat wieloznaczny jest mniej pracy. Tak, ten certyfikat zostałby odwołany i wymieniony, ale ponieważ wystarczy zastąpić jeden zamiast setek, powinno to być bardzo łatwe.

Zgodność: Certyfikaty wieloznaczne mogą nie działać płynnie ze starszymi konfiguracjami serwer-klient.

Te systemy prawie na pewno wymagają aktualizacji. Są prawie na pewno mają wiele innych luk w zabezpieczeniach.

Zoredache
źródło