Best practice, chi dovrebbe essere responsabile della configurazione HTTPS?

Naviga le tue risposte
5

Lavoro per una società di consulenza che sviluppa applicazioni web interne e intranet. Non possediamo o gestiamo alcuna infrastruttura, ma installiamo e supportiamo le applicazioni. Abbiamo ricevuto una richiesta che ci chiedeva di assumere la configurazione e la gestione di HTTPS / SSL su un server web. C'è qualche ragione per cui questo si starebbe con lo sviluppatore dell'applicazione al contrario del team IT Infrastructure che gestirà e amministrerà il server?

A quanto ho capito, il certificato sarebbe appartenuto al server e idealmente dovrebbe essere gestito da coloro che possiedono il server, non sono a conoscenza di alcun motivo per cui l'applicazione debba essere a conoscenza del certificato che richiederebbe il sviluppatori di possedere la configurazione del server web.

Qual è la migliore pratica per questo? soprattutto quando gli sviluppatori sono una terza parte che lavora per conto di un cliente.

Modifica: in questo caso abbiamo a che fare con semplici applicazioni LOB CRUD, quindi non riesco a pensare a casi particolari che richiederebbero all'app stessa di fare qualcosa di insolito. Non che io voglia scoraggiare le risposte che potrebbero applicarsi ad altri che potrebbero trovarsi in quella situazione!

    
posta Neil P 31.10.2016 - 13:36
fonte

2 risposte

5

Un caso limite in cui potrebbe avere senso attribuire la responsabilità per i certificati ssl agli sviluppatori di app / app:

Se la tua app era raggiungibile attraverso più nomi di dominio, e questi nomi di dominio erano controllati dall'app stessa, allora avrebbe senso che gli sviluppatori di app / app istituissero un sistema per estendere automaticamente il certificato al nuovo elenco di domini ogni volta che è stato aggiunto un dominio.

Ciò potrebbe anche essere rilevante per le applicazioni che consentono agli utenti di creare i propri sottodomini, (ad esempio john.example.com e jane.example.com), ma penso che in tal caso, ciò che faresti di solito è ottenere un certificato con caratteri jolly che coprirebbe * .example.com, e in tal caso non sarebbe necessario che gli sviluppatori di app / app si occupino del certificato).

Oltre a questo, non vedo un motivo per cui un consulente di terze parti dovrebbe prendersi cura dei certificati SSL di un cliente. In effetti, lo considererei uno svantaggio, visto che da un punto di vista della sicurezza si aggiungerebbe un ulteriore punto di errore - dopotutto, se il consulente si fosse preso cura di ottenere un certificato per il server del cliente, avrebbe anche avuto accesso alla chiave privata, e questo potrebbe essere una responsabilità sia per il cliente che per il consulente:

Il cliente non poteva mai essere sicuro di chi avesse accesso alle sue comunicazioni crittografate con i suoi clienti, dal momento che non poteva sapere se il consulente che aveva ottenuto il certificato SSL per lui prendesse tutte le cure necessarie per mantenere la chiave privata sicura e, nel caso in cui ci fosse una violazione della privacy con conseguenze finanziarie (o pubbliche), il consulente potrebbe improvvisamente mostrare che non è stata colpa sua per non essere ritenuta responsabile.

Quindi, se fossi in te, consiglierei al cliente di esternalizzare l'acquisizione e l'implementazione di certificati, se possibile (ovviamente, se non hanno i propri tecnici, non c'è modo di aggirarlo).

    
risposta data 31.10.2016 - 16:05
fonte
2

Ho notato che la responsabilità dei certificati dipende in ogni caso dalle circostanze, ma direi che in generale dipende dal fatto che si abbia un contratto di manutenzione con il cliente. Se hai un contratto di manutenzione, probabilmente si aspetta che tu rinnovi i domini, i certificati, ecc. Nel tempo; quindi, dovresti essere tu a configurarli. Se non si dispone di un contratto di manutenzione, tale responsabilità dovrebbe incidere sul personale IT.

    
risposta data 31.10.2016 - 19:13
fonte

Leggi altre domande sui tag

Le abilità di uno sviluppatore di software si trasferiscono bene nel lavoro di sicurezza informatica o hacking white hat? [chiuso] Quali sono i limiti della politica di sicurezza dei contenuti?