È sicuro utilizzare il certificato SSL Cloudflare gratuito poiché è condiviso con altri domini?

Question

È sicuro utilizzare il certificato SSL Cloudflare gratuito poiché è condiviso con altri domini?

#1 da (8 voti)

11

Ho un account Cloudflare gratuito dove gestisco il mio dominio (es: mydomain.com) e uso il certificato SSL gratuito (modalità SSL completo) per ottenere SSL su un sottodominio (blog.mydomain.com ospitato con Github pagine).

La root del dominio non è protetta da Cloudflare SSL ma ha un proprio certificato SSL separato.

Come probabilmente sapete, il certificato SSL di Cloudflare è condiviso tra diversi domini (spesso siti per adulti) ed è un tipo jolly. (quindi contiene * .mydomain.com, * .malicious.com, mydomain.com, malicious.com)

L'applicazione web è ospitata su mydomain.com e app.mydomain.com è anche protetta con il proprio certificato SSL. Questi domini possono essere in pericolo perché condividono un certificato con malicious.com e malicious.com probabilmente ha accesso allo stesso certificato SSL condiviso con mydomain.com?

web-application tls

posta user35912 12.12.2015 - 15:32

fonte

1 risposta

Leggi altre domande sui tag web-application tls

Quali file sono più insicuri di altri? Come disabilitare Intel ME?

score 8 · Accepted Answer

The web application hosted on mydomain.com or at app.mydomain.com (also secured with its own SSL certificate) can be somehow be in dangerous by the owner of malicious.com because he has access to the same SSL certificate shared by mydomain.com?

Il proprietario del dominio dannoso non ha accesso al certificato della chiave privata servito da Cloudflare e nemmeno a voi. I certificati per gli account gratuiti sono di proprietà di Cloudflare e solo Cloudflare ha accesso alla chiave privata del certificato (condiviso).

Inoltre, non è un problema condividere lo stesso certificato e / o indirizzo IP con un dominio potenzialmente dannoso. La stessa origine all'interno dei browser interessa solo i nomi di dominio, non i certificati o gli indirizzi IP e quindi non è possibile ottenere l'accesso dal dominio dannoso al dominio. I soliti attacchi CSRF, XSS ... funzionano ancora, ma questi non sono legati allo stesso certificato o no ma a problemi di sicurezza di un'applicazione web specifica.