La CA interna emette un certificato con caratteri jolly

15

Pochi dei nostri server web sono gestiti da un partner in outsourcing che lavora come noi nello stesso ufficio, utilizza i nostri laptop collegati alla nostra rete aziendale e ha account utente nel nostro annuncio. Hanno richiesto e applicato i certificati jolly per creare alcuni dei siti IIS (tutti interni) https.

Qualcuno in IT ha sollevato il timore che non sia consigliabile, da un punto di vista della sicurezza, che le richieste di appaltatori esternalizzati vengano applicate e applicate certificati sui siti web. Ecco l'argomento:

With a wildcard certificate you can "impersonate" any service, even the ones not managed by the specific team on the specific servers they have an agreement to manage. If the certificate is leaked outside of our company, it could pose a security risk, e.g. potentially be used to setup services pretending to be owned/validated by us when they are not. We may have NDA in place, but it would still be good practice IMHO to limit number of hands with access to certificates (I'd say even internal hands!), and considering that we even used pseudo-role based usernames as we expect that people may rotate more often than internal employees.

È un certificato interno che non si risolverebbe su Internet. Cosa ne pensano gli altri?

    
posta Manu 11.10.2017 - 14:58
fonte

2 risposte

22

Integrerò la risposta di @ schoeder con alcuni dettagli tecnici.

La mia comprensione della tua situazione è che hai server applicazioni come questa:

intranet.xyz.abc.com
documents.xyz.abc.com
applications.xyz.abc.com
...

e il tuo partner ha anche alcune applicazioni in esecuzione sullo stesso server:

partner1.xyz.abc.com
partner2.xyz.abc.com

Tutti i precedenti sono rivolti verso l'interno (non accessibili da internet). Ora, il partner era troppo pigro per creare singoli certificati per ciascuna delle loro applicazioni IIS, quindi hanno creato e installato un certificato globale per:

*.xyz.abc.com

Cool. Questo copre tutte le loro applicazioni. Ma copre anche tutti i tuoi. Supponendo che abbiano accesso alla chiave privata che appartiene a questo certificato jolly, possono Man-in-the-Middle i tuoi server intranet o documenti e leggere tutto il traffico.

Inoltre, se la tua azienda ha (o un amministratore malintenzionato con il tuo partner decide di alzarsi) qualsiasi sito web pubblico che corrisponde al carattere jolly, ad esempio:

www.xyz.abc.com

quindi, dato che si tratta di una CA interna privata, il pubblico non sarebbe ingannato dalla loro parodia, ma qualsiasi dipendente che si connette da internamente (con quella CA installata nel proprio sistema operativo) si fiderebbe della versione spoofed di www.xyz.abc.com .

Come sottolinea @schroeder, il potenziale per le minacce interne qui è enorme.

    
risposta data 11.10.2017 - 15:14
fonte
20

Le minacce interne rappresentano un grave problema a cui non pensano abbastanza le organizzazioni. La persona IT è corretta per questo.

Ma l'argomento è solo un fattore. È stata sollevata una "minaccia" e ora è necessario eseguire un'analisi delle minacce. Qual è l'impatto se un utente malintenzionato (esternalizzato o meno) può impersonare servizi? Se questo impatto è basso, puoi scegliere di ignorare questa minaccia.

Solo perché qualcosa potrebbe accadere non significa che dobbiamo spaventare. Dobbiamo considerare gli impatti e le probabilità e determinare se questo è qualcosa che dobbiamo affrontare.

Senza ulteriori dettagli sul tuo ambiente, servizi, flussi di dati, ecc. (che probabilmente non dovresti rivelare qui), questo è quanto possiamo rispondere.

    
risposta data 11.10.2017 - 15:06
fonte

Leggi altre domande sui tag