Apakah ada alasan keamanan untuk tidak menggunakan sertifikat wildcard selain pengelolaan dan eksploitasi jika digunakan pada beberapa server?

9

Saya memiliki penasihat keamanan yang memberi tahu saya bahwa kami tidak dapat menggunakan sertifikat wildcard SSL karena alasan keamanan. Untuk lebih jelasnya saya lebih suka menggunakan sertifikat tunggal atau sertifikat multi-domain (SAN). Namun kami membutuhkan server (plesk) ke server 100-an subdomain.

Berdasarkan penelitian saya, alasan utama mengapa situs orang tidak menggunakan wildcard adalah sebagai berikut yang tampaknya berasal dari verisign:

  • Keamanan: Jika satu server atau sub-domain dikompromikan, semua sub-domain dapat dikompromikan.
  • Manajemen: Jika sertifikat wildcard perlu dicabut, semua sub-domain akan membutuhkan sertifikat baru.
  • Kompatibilitas: Sertifikat wildcard mungkin tidak berfungsi mulus dengan
    konfigurasi server-klien yang lebih lama.
  • Perlindungan: Sertifikat SSL VeriSign Wildcard tidak dilindungi oleh garansi diperpanjang NetSure.

Karena kunci pribadi, sertifikat, dan subdomain semuanya akan ada di server yang sama ... penggantiannya akan semudah mengganti sertifikat yang satu ini dan mempengaruhi jumlah pengguna yang sama. Karena itu, adakah alasan lain untuk tidak menggunakan sertifikat wildcard?

security ssl https Ras abu-abu
sumber
Garis selalu abu-abu, tetapi lebih untuk keuntungan Anda, ini mungkin sangat cocok di IT Security SE. Orang-orang itu akan memiliki beberapa informasi hebat juga. Hanya pemikiran saja.
Univ426
Bisakah beberapa subdomain (host di domain yang sama) berbagi alamat IP yang sama saat berada di bawah domain wildcard? Saya belum pernah memeriksa itu sebelumnya, tetapi jika mereka bisa, itu akan menjadi pembenaran untuk menggunakan sertifikat wildcard, untuk menghindari keharusan menggunakan begitu banyak alamat IP. Kalau tidak, saya melihatnya sebagai menghemat biaya sertifikat dengan imbalan disk eksposur (lebih tinggi jika tersebar di banyak mesin).
Skaperen
@ Skaperen, ya, dengan sertifikat wildcard, Anda dapat meng-host banyak situs yang berbeda pada satu IP.
Zoredache
Ingat bahwa alamat IP tidak muncul dalam sertifikat SSL.
Stefan Lasiewski
Penasihat keamanan telah mengalah ketika saya mempresentasikan kasus saya dan dia tidak bisa datang dengan alasan yang baik untuk tidak sejak kami mengisolasi ini ke satu server / layanan.
Grey Race

Jawaban:

6

Satu-satunya 'gotcha' yang saya ketahui adalah bahwa sertifikat Validasi Diperpanjang tidak dapat dikeluarkan dengan wildcard , jadi itu bukan pilihan jika Anda mencari sertifikat EV.

Dalam hal keamanan, Anda telah memukul paku di kepala - satu kunci pribadi melindungi semua domain yang berada di bawah wildcard. Jadi, misalnya, jika Anda memiliki sertifikat SAN multi-domain yang mencakup www.example.comdan something.example.comdikompromikan, hanya dua domain tersebut yang berisiko diserang dengan kunci yang dikompromikan.

Namun, jika sistem yang sama itu malah menjalankan *.example.comsertifikat untuk menangani lalu lintas SSL untuk wwwdan somethingsubdomain dan dikompromikan, maka semua yang dicakup oleh wildcard itu berpotensi berisiko, bahkan layanan yang tidak di-host langsung di server itu - katakanlah webmail.example.com,.

Shane Madden
sumber
1
Bukankah benar bahwa beberapa CA menawarkan cara untuk membuat banyak sertifikat untuk sertifikat wildcard yang sama? Dengan kata lain, mereka memungkinkan banyak pasangan kunci privat / publik untuk sertifikat wildcard satu domain sehingga satu kunci privat yang dikompromikan tidak menyebabkan masalah bagi yang lain.
David Sanders
1

Keamanan: Jika satu server atau sub-domain dikompromikan, semua sub-domain dapat dikompromikan.

Jika Anda menggunakan server web tunggal untuk ratusan host virtual Anda, maka semua kunci pribadi harus dapat dibaca oleh proses server web. Jika seseorang dapat mengkompromikan sistem ke titik yang mereka dapat membaca satu kunci / sertifikat, maka mereka mungkin sudah mengkompromikan sistem ke titik di mana mereka dapat mengambil semua kunci / sertifikat pribadi yang digunakan oleh server web itu.

Kunci umumnya disimpan pada sistem file dengan hak istimewa yang hanya akan mengizinkan root untuk mengaksesnya. Jadi, jika sistem Anda di-root, maka Anda mungkin telah kehilangan segalanya. Tidak masalah jika Anda memiliki sertifikat tunggal atau banyak.

Manajemen: Jika sertifikat wildcard perlu dicabut, semua sub-domain akan membutuhkan sertifikat baru.

Jika Anda menggunakan wildcard untuk * .example.org maka Anda hanya perlu mengganti satu sertifikat. Jika Anda memiliki sertifikat untuk one.example.org, two.example.org, dan three.example.org, maka Anda harus mengganti 3 sertifikat. Jadi sertifikat wildcard kurang berfungsi. Jadi ya, sertifikat itu akan dicabut dan diganti, tetapi karena Anda hanya perlu mengganti satu, bukan ratusan, itu pasti sangat mudah.

Kompatibilitas: Sertifikat wildcard mungkin tidak berfungsi mulus dengan konfigurasi server-klien yang lebih lama.

Sistem itu hampir pasti perlu diperbarui. Mereka hampir pasti memiliki banyak kerentanan lainnya.

Sakit kepala
sumber