Di recente abbiamo impostato un'autorità di certificazione interna a due livelli. Inoltre, diffondiamo le CA root tramite Active Directory in modo che i certificati della nostra CA interna siano automaticamente considerati affidabili da ogni sistema (Windows) della nostra rete.
I nostri sviluppatori hanno bisogno di certificati SSL per le loro workstation locali. Un'opzione sarebbe quella di generare un certificato con caratteri jolly come *.foo.bar.com
.
I vantaggi sono la facilità di implementazione e la dimostrazione futura (se creiamo nuovi sottodomini in futuro, li copra automaticamente).
Tuttavia, il rovescio della medaglia è se dovessimo emettere un certificato con caratteri jolly, come puoi essere certo che un dipendente malintenzionato non lo abuserà?
Immagina una situazione in cui un dev dannoso installa un sito Web sulla workstation locale (mail.foo.bar.com) e può in qualche modo anche avvelenare DNS o modificare il file host
locale di un utente. Tale certificato con caratteri jolly presta credibilità al loro sito Web dannoso, rendendolo più autentico.
Sono troppo paranoico? Dovremmo rilasciare i caratteri jolly e rendere più semplice la manutenzione dei certificati o dovremmo generare certificati unici per ogni nome DNS per limitare l'ambito di utilizzo?
Qualcuno ha qualche pensiero? Esperienze?
Modifica
A me sembra che ci siano due ottime soluzioni pubblicate qui:
-
Separa dev / test e produzione in CA indipendenti come consigliato da @Kotzu. Per noi personalmente Non posso giustificare la creazione di una seconda CA solo per quello scopo. È troppo sforzo per il numero di certificati che abbiamo (40 in totale di cui 10-20 sono dev). Detto questo, penso che sia la risposta migliore.
-
Modifica la struttura dei nomi DNS come raccomandato da @immbis in modo che la parte "dev" del nome sia il sottodominio e non il sottodominio secondario. Rendendo così il jolly più evidentemente un dominio dev. Ciò allevierebbe le mie preoccupazioni sull'emissione di certificati con caratteri jolly in larga misura. Quindi la rappresentazione può avvenire solo per
*.dev.ourdomain.com
- con cui sto bene. Detto questo, abbiamo semplicemente programmato troppi posti per renderlo pratico.
Penso che quello che finiremo per fare è continuare a rilasciare certificati SSL completi per ogni dev. Ciò sembra più sicuro poiché lascia molto meno spazio per una persona malintenzionata ad abusare / impersonare una risorsa legittima. Comunque, questa intera situazione è un po 'un caso di croce. Spero che i nostri sviluppatori non stiano agendo maliziosamente e provando a creare siti fasulli. Non voglio solo distribuire cerattivi di caratteri jolly attendibili come caramelle gratis solo per poi averli usati in qualche modo inaspettato.
Se avessimo bisogno di sempre più certificati e l'emissione di singoli certificati diventasse ingestibile, prenderemo in considerazione la possibilità di creare una seconda CA che è ritenuta affidabile solo dalle workstation di sviluppo (non dall'intera azienda) e che emette nuovi certificati jolly.