Existe um motivo de segurança para não usar um certificado curinga que não seja gerenciamento e exploração, se usado em vários servidores?

9

Eu tenho um consultor de segurança que está me dizendo que não podemos usar certificados SSL curinga por motivos de segurança. Para ser claro, eu prefiro usar certificados únicos ou certificados com vários domínios (SAN). No entanto, precisamos do servidor (plesk) para o servidor 100s de subdomínios.

Com base em minha pesquisa, a principal razão pela qual o site de pessoas por não usar curinga é o seguinte, que parece vir da verisign:

  • Segurança: Se um servidor ou subdomínio estiver comprometido, todos os subdomínios podem estar comprometidos.
  • Gerenciamento: se o certificado curinga precisar ser revogado, todos os subdomínios precisarão de um novo certificado.
  • Compatibilidade: Certificados curinga podem não funcionar perfeitamente com
    configurações mais antigas de servidor-cliente.
  • Proteção: Os certificados SSL VeriSign Wildcard não são protegidos pela garantia estendida do NetSure.

Como a chave privada, cert e subdomínio existirão no mesmo servidor ... a substituição seria tão simples quanto substituir esse certificado e afetar a mesma quantidade de usuários. Portanto, existe outro motivo para não usar um certificado curinga?

security ssl https Grey Race
fonte
A linha é sempre cinza, mas mais para seu benefício, isso pode se encaixar muito bem no IT Security SE. Esses caras também terão ótimas informações. Apenas um pensamento.
Univ426
Vários subdomínios (hosts no mesmo domínio) podem compartilhar o mesmo endereço IP quando em um domínio curinga? Eu nunca verifiquei isso antes, mas se eles puderem, isso parece uma justificativa para usar um certificado curinga, para evitar a necessidade de usar tantos endereços IP. Caso contrário, vejo isso como uma economia de custos de certificado em troca do disco de exposição (maior se espalhado por muitas máquinas).
Skaperen
@ Skaperen, sim, com um certificado curinga, você pode hospedar muitos sites diferentes em um único IP.
precisa saber é o seguinte
Lembre-se de que o endereço IP não aparece no certificado SSL.
Stefan Lasiewski
O consultor de segurança cedeu quando apresentei meu caso e ele não conseguiu apresentar uma boa razão para isso, já que isolamos isso em um único servidor / serviço.
Grey Race

Respostas:

6

A única outra 'pegadinha' que eu tenho conhecimento é que os certificados de Validação Estendida não podem ser emitidos com um curinga , portanto, não é uma opção se você estiver buscando um certificado EV.

Em termos de segurança, você acertou na cabeça - uma única chave privada protege todos os domínios que estão sob o curinga. Portanto, por exemplo, se você tiver um certificado SAN de vários domínios que cubra www.example.come something.example.comseja comprometido, apenas esses dois domínios correm risco de ataque com a chave comprometida.

No entanto, se esse mesmo sistema foram em vez executando uma *.example.comcert ao tráfego alça SSL para wwwe somethingsubdomínios e foram comprometidos, em seguida, tudo coberto por esse curinga é potencialmente em risco, até mesmo serviços não hospedado diretamente no servidor - digamos, webmail.example.com.

Shane Madden
fonte
1
Não é verdade que algumas autoridades de certificação oferecem uma maneira de criar muitos certificados para o mesmo certificado curinga? Em outras palavras, eles permitem muitos pares diferentes de chave pública / privada para o certificado curinga de um domínio, de forma que uma chave privada comprometida não cause problemas aos outros.
David Sanders
1

Segurança: Se um servidor ou subdomínio estiver comprometido, todos os subdomínios podem estar comprometidos.

Se você estiver usando um único servidor da web para centenas de hosts virtuais, todas as chaves privadas precisariam ser legíveis por esse processo do servidor da web. Se uma pessoa pode comprometer o sistema em um ponto em que pode ler uma chave / certificado, provavelmente já comprometeu o sistema em um ponto em que pode obter todas as chaves / certificados particulares usados ​​por esse servidor da web.

As chaves geralmente são armazenadas no sistema de arquivos com privilégios que permitem apenas que o root acesse. Portanto, se seu sistema estiver enraizado, provavelmente você perdeu tudo. Realmente não importa se você tem um certificado único ou muitos.

Gerenciamento: se o certificado curinga precisar ser revogado, todos os subdomínios precisarão de um novo certificado.

Se você estiver usando um curinga para * .example.org, precisará substituir apenas um único certificado. Se você possui um certificado para one.example.org, two.example.org e three.example.org, precisará substituir 3 certificados. Portanto, o certificado curinga é menos trabalhoso. Portanto, sim, esse certificado seria revogado e substituído, mas como você só precisa substituir um em vez de centenas, deve ser muito fácil.

Compatibilidade: Certificados curinga podem não funcionar perfeitamente com configurações mais antigas de servidor-cliente.

Esses sistemas quase certamente precisam ser atualizados. Eles quase certamente têm muitas outras vulnerabilidades.

Zoredache
fonte