Pochi dei nostri server web sono gestiti da un partner in outsourcing che lavora come noi nello stesso ufficio, utilizza i nostri laptop collegati alla nostra rete aziendale e ha account utente nel nostro annuncio. Hanno richiesto e applicato i certificati jolly per creare alcuni dei siti IIS (tutti interni) https.
Qualcuno in IT ha sollevato il timore che non sia consigliabile, da un punto di vista della sicurezza, che le richieste di appaltatori esternalizzati vengano applicate e applicate certificati sui siti web. Ecco l'argomento:
With a wildcard certificate you can "impersonate" any service, even the ones not managed by the specific team on the specific servers they have an agreement to manage. If the certificate is leaked outside of our company, it could pose a security risk, e.g. potentially be used to setup services pretending to be owned/validated by us when they are not. We may have NDA in place, but it would still be good practice IMHO to limit number of hands with access to certificates (I'd say even internal hands!), and considering that we even used pseudo-role based usernames as we expect that people may rotate more often than internal employees.
È un certificato interno che non si risolverebbe su Internet. Cosa ne pensano gli altri?