Birden fazla sunucuda kullanılıyorsa, yönetilebilirlik ve sömürü dışında bir joker karakter sertifikası kullanmamanın bir güvenlik nedeni var mı?

9

Güvenlik nedeniyle joker karakter SSL sertifikalarını kullanamayacağımızı söyleyen bir güvenlik danışmanım var. Açıkça belirtmek gerekirse, tek veya çok alanlı sertifika (SAN) kullanmayı tercih ederim. Ancak, sunucuya (plesk) 100'lü alt alan adı sunucularına ihtiyacımız var.

Araştırmamı temel alarak, insanların joker karakterini kullanmamalarının ana nedeni, verisign'dan geliyor gibi görünüyor:

  • Güvenlik: Bir sunucunun veya alt alan adının güvenliği ihlal edilmişse, tüm alt alan adlarının güvenliği ihlal edilebilir.
  • Yönetim: Joker karakter sertifikasının iptal edilmesi gerekiyorsa, tüm alt alan adlarının yeni bir sertifikaya ihtiyacı olacaktır.
  • Uyumluluk: Joker karakter sertifikaları
    eski sunucu-istemci yapılandırmalarıyla sorunsuz şekilde çalışmayabilir .
  • Koruma: VeriSign Wildcard SSL Sertifikaları, NetSure uzatılmış garantisi ile korunmaz.

Özel anahtar, sertifika ve alt alan adlarının tümü aynı sunucuda bulunacağından ... değiştirme, bu sertifikayı değiştirmek ve aynı sayıda kullanıcıyı etkilemek kadar basit olacaktır. Bu nedenle joker karakter sertifikası kullanmamanın başka bir nedeni var mı?

security  ssl  https 
Gri Yarış
kaynak
Hat her zaman gridir, ancak daha fazla fayda sağlamanız için bu, IT Security SE'ye çok uygun olabilir. Bu adamlar da harika bilgiler alacaklar . Sadece bir düşünce.
Univ426
Bir joker alan altındayken birden fazla alt alan adı (aynı alan adındaki ana makineler) aynı IP adresini paylaşabilir mi? Daha önce hiç kontrol etmedim, ancak eğer yapabilirlerse, bu kadar çok IP adresi kullanmaktan kaçınmak için bir joker karakter sertifikası kullanmak için bir gerekçe gibi görünüyor. Aksi takdirde, maruz kalma diski karşılığında (birçok makineye yayılmışsa daha yüksek) sertifika maliyetlerini tasarruf olarak görüyorum.
Skaperen
@Skaperen, evet, joker karakter sertifikası ile tek bir IP'de birçok farklı site barındırabilirsiniz.
Zoredache
IP adresinin SSL sertifikasında görünmediğini unutmayın.
Stefan Lasiewski
Güvenlik danışmanı davamı sundu ve o tek bir sunucu / hizmet aşağı izole beri o değil için iyi bir neden ile gelemedi zaman relented.
Gri Yarış

Yanıtlar:

6

Fark ettiğim diğer bir 'gotcha', Genişletilmiş Doğrulama sertifikalarının joker karakterle verilemeyeceğidir , bu nedenle bir EV sertifikası için gidiyorsanız bir seçenek değildir.

Güvenlik açısından, kafadaki tırnağa çarptınız - tek bir özel anahtar, joker karakterin altındaki tüm alanları korur. Örneğin, ele geçirilen www.example.comve something.example.comgüvenliği ihlal edilen çok alanlı bir SAN sertifikanız varsa , yalnızca bu iki alan güvenliği ihlal edilmiş anahtarla saldırı riski altındadır.

Bununla birlikte, aynı sistem bunun yerine *.example.comSSL trafiğini wwwve somethingalt alan adlarını işlemek için bir sertifika çalıştırıyorsa ve tehlikeye atılmışsa, o joker karakterle kapsanan her şey potansiyel olarak risk altındadır, hatta hizmetler doğrudan o sunucuda barındırılmamıştır - webmail.example.com.

Shane Madden
kaynak
1
Bazı CA'ların aynı joker sertifika için birçok sertifika oluşturmanın bir yolu sunduğu doğru değil mi? Başka bir deyişle, bir alanın joker karakteri sertifikası için birçok farklı özel / ortak anahtar çiftine izin verir, böylece bir özel anahtarın güvenliği ihlal edilirken diğerleri için herhangi bir soruna neden olmaz.
David Sanders
1

Güvenlik: Bir sunucunun veya alt alan adının güvenliği ihlal edilmişse, tüm alt alan adlarının güvenliği ihlal edilebilir.

Yüzlerce sanal ana makineniz için tek bir web sunucusu kullanıyorsanız, tüm özel anahtarların bu web sunucusu işlemi tarafından okunabilir olması gerekir. Bir kişi, bir anahtarı / sertifikayı okuyabildiği için sistemi bir noktaya düşürebilirse, muhtemelen sistemi zaten o web sunucusu tarafından kullanılan tüm özel anahtarları / sertifikaları alabilecekleri bir noktaya düşürmüşlerdir.

Anahtarlar genellikle dosya sisteminde yalnızca kökün onlara erişmesine izin verecek ayrıcalıklarla depolanır. Sisteminiz köklü ise, muhtemelen her şeyi kaybettiniz. Tek bir sertifikanız ya da birçoğunuz olması önemli değil.

Yönetim: Joker karakter sertifikasının iptal edilmesi gerekiyorsa, tüm alt alan adlarının yeni bir sertifikaya ihtiyacı olacaktır.

* .Example.org için joker karakter kullanıyorsanız, yalnızca tek bir sertifikayı değiştirmeniz gerekir. One.example.org, two.example.org ve three.example.org için bir sertifikanız varsa, 3 sertifikayı değiştirmeniz gerekir. Yani joker sertifika daha az iş. Evet, bu sertifika iptal edilecek ve değiştirilecek, ancak yüzlerce yerine yalnızca bir tanesini değiştirmeniz gerektiğinden, çok kolay olmalı.

Uyumluluk: Joker karakter sertifikaları eski sunucu-istemci yapılandırmalarıyla sorunsuz şekilde çalışmayabilir.

Bu sistemin neredeyse kesinlikle güncellenmesi gerekiyor. Neredeyse kesinlikle başka birçok güvenlik açığı var.

Zoredache
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.