Più certificati SSL su bilanciamento del carico

Question

Più certificati SSL su bilanciamento del carico

#1 da (1 voti)

6

Stiamo discutendo con il nostro reparto operativo sui certificati SSL wildcard. Il nostro scopo è quello di vietare tutti i certificati con caratteri jolly (come * .domain.com) per l'applicazione Web esposta su Internet a causa dei potenziali rischi per la sicurezza, almeno nell'ambiente di produzione.

Non prendendo in considerazione i costi associati all'acquisto di certificati (uno per applicazione web) si afferma che la soluzione non è fattibile perché tutti i certificati SSL sono gestiti sul servizio di bilanciamento del carico.

Non ho esperienza nella gestione del bilanciamento del carico; Suppongo che sia come una configurazione di Apache con più di un host virtuale, ogni host virtuale con il suo certificato (cioè link ). Una recente notizia di Akamai afferma che SNI è ampiamente adottato ( link ) .

Quali sono le reali difficoltà nella gestione di molti certificati su un servizio di bilanciamento del carico?

Esistono alcune best practice dalla fonte autorevole?

webserver tls certificates

posta wladiolo 30.03.2017 - 16:25

fonte

1 risposta

Leggi altre domande sui tag webserver tls certificates

Qual è il modo più semplice per evitare di aggiungere un nuovo percorso predefinito tramite dhcp? SSL MITM sul lato WAN del mio router

score 1 · Answer 1

Not taking in consideration the costs associated to the purchase of certificates (one per web application) they claim that the solution is not feasible because all SSL certificates are managed on the load balancer.

Probabilmente si tratta di una domanda di errore del server che richiede la configurazione di un servizio di bilanciamento del carico. È impossibile per noi rispondere completamente perché non sappiamo quale sia l'impostazione utilizzata dalla tua azienda. Tuttavia, in generale aggiungere certificati aggiuntivi non dovrebbe essere difficile; dovrebbero essere solo poche righe di configurazione e gli operatori dovrebbero avere script di gestione della configurazione che consentano loro di aggiungere un altro cert in un array e lasciare che gli strumenti generino la configurazione risultante.

Tuttavia, un approccio molto più comune consiste nell'utilizzare un certificato SAN che contiene voci per tutti dei nomi di dominio che si prevede di utilizzare. Dai un'occhiata al certificato qui, ad esempio:

QuestoèanchecomunementeusatodaiCDNinmodochenondebbanogestireuninterogruppodicertificatidaciascunodeiloroclienti:

Il problema chiave qui, naturalmente, è che è necessario rinnovare il certificato quando si aggiunge un nuovo dominio. Per contrastarlo, richiederei un preavviso per aggiungere un nuovo dominio e raggrupparne un gruppo in un nuovo certificato; quindi se rinnovi i certificati ogni anno e aggiungi nuovi domini mensilmente, sul bilanciamento del carico saranno installati dodici certificati, uno per ogni mese.