¿Hay alguna razón de seguridad para no usar un certificado comodín que no sea la capacidad de administración y explotación si se usa en varios servidores?

9

Tengo un asesor de seguridad que me dice que no podemos usar certificados SSL comodín por razones de seguridad. Para ser claros, prefiero usar certificados únicos o certificados de dominio múltiple (SAN). Sin embargo, tenemos una necesidad del servidor (plesk) para el servidor de cientos de subdominios.

Según mi investigación, la razón principal por la que las personas no usan comodines es la siguiente, que parece provenir de verisign:

  • Seguridad: si un servidor o subdominio se ve comprometido, todos los subdominios pueden verse comprometidos.
  • Administración: si el certificado comodín necesita ser revocado, todos los subdominios necesitarán un nuevo certificado.
  • Compatibilidad: los certificados comodín pueden no funcionar a la perfección con
    configuraciones de servidor-cliente más antiguas.
  • Protección: los certificados SSL Wildcard de VeriSign no están protegidos por la garantía extendida de NetSure.

Dado que la clave privada, el certificado y el subdominio existirán en el mismo servidor ... el reemplazo sería tan simple como reemplazar este certificado y afectar a la misma cantidad de usuarios. Por lo tanto, ¿hay alguna otra razón para no usar un certificado comodín?

security ssl https Carrera gris
fuente
La línea siempre es gris, pero más para su beneficio, esto podría encajar muy bien en IT Security SE. Esos tipos también tendrán buena información. Solo un pensamiento.
Univ426
¿Pueden varios subdominios (hosts en el mismo dominio) compartir la misma dirección IP cuando están bajo un dominio comodín? Nunca lo he comprobado antes, pero si pueden, parecería ser una justificación para usar un certificado comodín, para evitar tener que usar tantas direcciones IP. De lo contrario, lo veo como un ahorro en los costos del certificado a cambio del disco de exposición (mayor si se distribuye en muchas máquinas).
Skaperen
@Skaperen, sí, con un certificado comodín, puede alojar muchos sitios diferentes en una sola IP.
Zoredache
Recuerde que la dirección IP no aparece en el certificado SSL.
Stefan Lasiewski
El asesor de seguridad cedió cuando presenté mi caso y no pudo encontrar una buena razón para hacerlo, ya que hemos aislado esto en un solo servidor / servicio.
Carrera gris

Respuestas:

6

El único otro 'problema' que conozco es que los certificados de Validación Extendida no se pueden emitir con un comodín , por lo que no es una opción si va a obtener un certificado EV.

En términos de seguridad, has dado en el clavo: una sola clave privada protege todos los dominios que están bajo el comodín. Entonces, por ejemplo, si tenía un certificado SAN multidominio que cubría www.example.comy something.example.comse comprometía, solo esos dos dominios están en riesgo de ataque con la clave comprometida.

Sin embargo, si ese mismo sistema ejecutara un *.example.comcertificado para manejar el tráfico SSL wwwy los somethingsubdominios y estuviera en peligro, entonces todo lo que cubre ese comodín está potencialmente en riesgo, incluso los servicios que no están alojados directamente en ese servidor, por ejemplo webmail.example.com.

Shane Madden
fuente
1
¿No es cierto que algunas CA ofrecen una forma de crear muchos certificados para el mismo certificado comodín? En otras palabras, permiten muchos pares de claves privadas / públicas diferentes para el certificado comodín de un dominio, de modo que una clave privada que se ve comprometida no causa ningún problema para los demás.
David Sanders
1

Seguridad: si un servidor o subdominio se ve comprometido, todos los subdominios pueden verse comprometidos.

Si está utilizando un único servidor web para sus cientos de hosts virtuales, entonces todas las claves privadas deberían ser legibles por ese proceso del servidor web. Si una persona puede comprometer el sistema a un punto en el que puede leer una clave / certificado, entonces probablemente ya haya comprometido el sistema a un punto en el que pueda tomar todas las claves / certificados privados utilizados por ese servidor web.

Las claves generalmente se almacenan en el sistema de archivos con privilegios que solo permitirán que root acceda a ellas. Entonces, si su sistema está rooteado, entonces probablemente haya perdido todo. Realmente no importa si tienes un solo certificado o muchos.

Administración: si el certificado comodín necesita ser revocado, todos los subdominios necesitarán un nuevo certificado.

Si está utilizando un comodín para * .example.org, solo necesita reemplazar un solo certificado. Si tiene un certificado para one.example.org, two.example.org y three.example.org, debe reemplazar 3 certificados. Entonces el certificado comodín es menos trabajo. Entonces sí, ese certificado sería revocado y reemplazado, pero dado que solo tiene que reemplazar uno en lugar de cientos, debería ser muy fácil.

Compatibilidad: los certificados comodín pueden no funcionar a la perfección con configuraciones de servidor-cliente más antiguas.

Esos sistemas casi seguramente necesitan ser actualizados. Es casi seguro que tienen muchas otras vulnerabilidades.

Zoredache
fuente