Gibt es einen Sicherheitsgrund, kein anderes Wildcard-Zertifikat als Verwaltbarkeit und Ausnutzung zu verwenden, wenn es auf mehreren Servern verwendet wird?

9

Ich habe einen Sicherheitsberater, der mir mitteilt, dass wir aus Sicherheitsgründen keine Platzhalter-SSL-Zertifikate verwenden können. Um es klar auszudrücken, bevorzuge ich die Verwendung von Einzelzertifikaten oder Multi-Domain-Zertifikaten (SAN). Wir benötigen jedoch den Server (plesk), um Hunderte von Subdomänen zu bedienen.

Basierend auf meinen Recherchen ist der Hauptgrund, warum Personen keine Platzhalter verwenden, der folgende, der anscheinend von verisign stammt:

  • Sicherheit: Wenn ein Server oder eine Unterdomäne gefährdet ist, sind möglicherweise alle Unterdomänen gefährdet.
  • Verwaltung: Wenn das Platzhalterzertifikat widerrufen werden muss, benötigen alle Unterdomänen ein neues Zertifikat.
  • Kompatibilität: Platzhalterzertifikate funktionieren möglicherweise nicht nahtlos mit
    älteren Server-Client-Konfigurationen.
  • Schutz: VeriSign Wildcard SSL-Zertifikate sind nicht durch die erweiterte NetSure-Garantie geschützt.

Da der private Schlüssel, das Zertifikat und die Subdomain alle auf demselben Server vorhanden sind, wäre das Ersetzen so einfach wie das Ersetzen dieses einen Zertifikats und wirkt sich auf dieselbe Anzahl von Benutzern aus. Gibt es daher einen weiteren Grund, kein Platzhalterzertifikat zu verwenden?

security ssl https Graue Rasse
quelle
Die Linie ist immer grau, aber zu Ihrem Vorteil passt dies möglicherweise sehr gut zur IT Security SE. Diese Jungs werden auch einige großartige Informationen haben. Nur ein Gedanke.
Univ426
Können mehrere Subdomains (Hosts in derselben Domain) unter einer Wildcard-Domain dieselbe IP-Adresse verwenden? Ich habe das noch nie überprüft, aber wenn dies möglich ist, scheint dies eine Rechtfertigung für die Verwendung eines Platzhalterzertifikats zu sein, um zu vermeiden, dass so viele IP-Adressen verwendet werden müssen. Ansonsten sehe ich es als Einsparung von Zertifikatskosten im Austausch für die Expositionsdiskette (höher, wenn es auf viele Computer verteilt ist).
Skaperen
@Skaperen, ja, mit einem Platzhalterzertifikat können Sie viele verschiedene Sites auf einer einzigen IP hosten.
Zoredache
Denken Sie daran, dass die IP-Adresse nicht im SSL-Zertifikat angezeigt wird.
Stefan Lasiewski
Der Sicherheitsberater hat nachgegeben, als ich meinen Fall vorstellte, und er konnte keinen guten Grund dafür finden, da wir dies auf einen einzelnen Server / Dienst beschränkt haben.
Graues Rennen

Antworten:

6

Das einzige andere "Gotcha", das mir bekannt ist, ist, dass Extended Validation-Zertifikate nicht mit einem Platzhalter ausgestellt werden können. Daher ist dies keine Option, wenn Sie ein EV-Zertifikat beantragen.

In Bezug auf die Sicherheit haben Sie den Nagel auf den Kopf getroffen - ein einziger privater Schlüssel schützt alle Domänen, die sich unter dem Platzhalter befinden. Wenn Sie beispielsweise über ein SAN-Zertifikat mit mehreren Domänen verfügen, das abgedeckt www.example.comund something.example.comkompromittiert wird, besteht nur für diese beiden Domänen das Risiko eines Angriffs mit dem kompromittierten Schlüssel.

Wenn jedoch dasselbe System stattdessen ein *.example.comZertifikat für den SSL-Verkehr für wwwund somethingSubdomains ausführt und kompromittiert wird, ist möglicherweise alles, was von diesem Platzhalter abgedeckt wird, gefährdet, selbst Dienste, die nicht direkt auf diesem Server gehostet werden webmail.example.com.

Shane Madden
quelle
1
Stimmt es nicht, dass einige Zertifizierungsstellen die Möglichkeit bieten, viele Zertifikate für dasselbe Platzhalterzertifikat zu erstellen? Mit anderen Worten, sie erlauben viele verschiedene private / öffentliche Schlüsselpaare für das Platzhalterzertifikat einer Domain, sodass ein kompromittierter privater Schlüssel keine Probleme für die anderen verursacht.
David Sanders
1

Sicherheit: Wenn ein Server oder eine Unterdomäne gefährdet ist, sind möglicherweise alle Unterdomänen gefährdet.

Wenn Sie einen einzelnen Webserver für Ihre Hunderte von virtuellen Hosts verwenden, müssen alle privaten Schlüssel von diesem Webserverprozess gelesen werden können. Wenn eine Person das System bis zu einem Punkt kompromittieren kann, an dem sie einen Schlüssel / ein Zertifikat lesen kann, hat sie das System wahrscheinlich bereits bis zu einem Punkt kompromittiert, an dem sie alle von diesem Webserver verwendeten privaten Schlüssel / Zertifikate abrufen kann.

Die Schlüssel werden im Allgemeinen im Dateisystem mit Berechtigungen gespeichert, die nur root den Zugriff auf sie ermöglichen. Wenn Ihr System also gerootet ist, haben Sie wahrscheinlich alles verloren. Es spielt keine Rolle, ob Sie ein oder mehrere Zertifikate haben.

Verwaltung: Wenn das Platzhalterzertifikat widerrufen werden muss, benötigen alle Unterdomänen ein neues Zertifikat.

Wenn Sie einen Platzhalter für * .example.org verwenden, müssen Sie nur ein einziges Zertifikat ersetzen. Wenn Sie ein Zertifikat für one.example.org, two.example.org und three.example.org haben, müssen Sie 3 Zertifikate ersetzen. Das Platzhalterzertifikat ist also weniger Arbeit. Also ja, dieses Zertifikat würde widerrufen und ersetzt, aber da Sie nur eines anstelle von Hunderten ersetzen müssen, sollte es sehr einfach sein.

Kompatibilität: Platzhalterzertifikate funktionieren möglicherweise nicht nahtlos mit älteren Server-Client-Konfigurationen.

Diese Systeme müssen mit ziemlicher Sicherheit aktualisiert werden. Sie haben mit ziemlicher Sicherheit viele andere Schwachstellen.

Zoredache
quelle