Question Existe-t-il une raison de sécurité interdisant l'utilisation d'un certificat générique autre que la facilité de gestion et l'exploitation si elle est utilisée sur plusieurs serveurs?


Un conseiller en sécurité me dit que nous ne pouvons pas utiliser de certificats SSL génériques pour des raisons de sécurité. Pour être clair, je préfère de loin l’utilisation de certificats uniques ou multi-domaines (SAN). Cependant, nous avons besoin du serveur (plesk) pour 100 serveurs de sous-domaines.

D'après mes recherches, la principale raison pour laquelle les utilisateurs du site n'utilisent pas de caractère générique est la suivante, ce qui semble provenir de Verisign:

  • Sécurité: si un serveur ou un sous-domaine est compromis, tous les sous-domaines peut être compromis.
  • Gestion: si le certificat générique doit être être révoqué, tous les sous-domaines auront besoin d’un nouveau certificat.
  • Compatibilité: les certificats génériques peuvent ne pas fonctionner de manière transparente avec
    anciennes configurations serveur-client.
  • Protection: les certificats SSL VeriSign Wildcard ne sont pas protégés par la garantie prolongée NetSure.

Puisque la clé privée, le cert et le sous-domaine existeront tous sur le même serveur ... le remplacement serait aussi simple que de remplacer celui-ci et d’affecter le même nombre d’utilisateurs. Par conséquent, existe-t-il une autre raison de ne pas utiliser un certificat générique?


9
2017-08-27 22:21


origine


La ligne est toujours grise, mais à votre avantage, elle pourrait très bien convenir à IT Security SE. Ces gars auront un peu génial information aussi. Juste une pensée. - Univ426
Plusieurs sous-domaines (hôtes du même domaine) peuvent-ils partager la même adresse IP lorsqu'ils appartiennent à un domaine générique? Je n’avais jamais vérifié cela auparavant, mais s’ils le pouvaient, cela semblerait être une justification pour utiliser un certificat générique, pour éviter d’avoir à utiliser autant d’adresses IP. Sinon, je vois cela comme une économie des coûts de certificat en échange d'un disque d'exposition (plus élevé si réparti sur de nombreuses machines). - Skaperen
@ Skaperen, oui, avec un certificat générique, vous pouvez héberger de nombreux sites différents sur une même adresse IP. - Zoredache
N'oubliez pas que l'adresse IP n'apparaît pas dans le certificat SSL. - Stefan Lasiewski
Le conseiller en sécurité a cédé lorsque j'ai présenté mon dossier et il n'a pas pu trouver une bonne raison de ne pas le faire puisque nous avons isolé ce problème sur un serveur / service unique. - Gray Race


Réponses:


Le seul autre "gotcha" que je connaisse est que Les certificats de validation étendue ne peuvent pas être émis avec un caractère générique, ce n’est donc pas une option si vous souhaitez obtenir un certificat EV.

En termes de sécurité, vous avez mis le doigt dessus - une clé privée unique protège tous les domaines sous le caractère générique. Ainsi, par exemple, si vous avez un certificat SAN multi-domaine qui couvre www.example.com et something.example.com être compromis, seuls ces deux domaines risquent d’être attaqués avec la clé compromise.

Cependant, si ce même système utilisait plutôt un *.example.com cert pour gérer le trafic SSL pour www et something sous-domaines et ont été compromis, alors tout ce qui est couvert par ce caractère générique est potentiellement menacé, même les services non hébergés directement sur ce serveur - par exemple, webmail.example.com.


6
2017-08-27 22:32



N'est-il pas vrai que certaines autorités de certification offrent un moyen de créer plusieurs certificats pour le même certificat générique? En d'autres termes, ils autorisent de nombreuses paires de clés privées / publiques différentes pour le certificat générique d'un domaine, de telle sorte qu'une clé privée compromise ne cause aucun problème aux autres. - David Sanders


Sécurité: Si un serveur ou un sous-domaine est compromis, tous les sous-domaines peuvent l'être.

Si vous utilisez un seul serveur Web pour vos centaines d'hôtes virtuels, toutes les clés privées doivent être lisibles par ce processus de serveur Web. Si une personne peut compromettre le système à un certain point si elle peut lire une clé / certificat, elle a probablement déjà déjà compromis le système à un point où elle peut récupérer toutes les clés / certificats privés utilisés par ce serveur Web.

Les clés sont généralement stockées sur le système de fichiers avec des privilèges qui ne permettront qu'à root d'y accéder. Donc, si votre système est enraciné, vous avez probablement tout perdu. Peu importe si vous avez un seul certificat ou plusieurs.

Gestion: si le certificat générique doit être révoqué, tous les sous-domaines auront besoin d'un nouveau certificat.

Si vous utilisez un caractère générique pour * .exemple.org, vous ne devez remplacer qu'un seul certificat. Si vous avez un certificat pour one.example.org, two.example.org et three.example.org, vous devez remplacer 3 certificats. Donc, le certificat générique est moins de travail. Donc, oui, ce certificat serait révoqué et remplacé, mais comme il ne faut en remplacer qu'un au lieu de centaines, cela devrait être très simple.

Compatibilité: les certificats génériques peuvent ne pas fonctionner de manière transparente avec les anciennes configurations serveur-client.

Ce système a presque certainement besoin d'être mis à jour. Ils sont presque certainement confrontés à de nombreuses autres vulnérabilités.


1
2017-08-27 23:08