Installa lo stesso certificato su server pubblici e server dev / qa

Naviga le tue risposte
3

Lavoro con un'applicazione e il sito principale ha un certificato jolly emesso dalla CA per * .example.com.

Abbiamo diversi sottodomini pubblici, ad esempio app.example.com / cdn.example.com e diversi ambienti dev / qa ad es. qa.example.com che non sono disponibili senza essere dietro il firewall aziendale.

Indagare su un problema di contenuto misto Stavo iniziando a parlare con i membri della rete di certificati di fiducia e criteri di gruppo affidabili per le scatole di sviluppo quando ho notato che il certificato principale era un certificato jolly. Il che mi porta alla domanda:

Vi sono implicazioni di sicurezza negative chiedendo di avere il certificato pubblico importato nelle caselle di sviluppo?

    
posta ste-fu 27.11.2017 - 23:14
fonte

1 risposta

4

Non stai solo importando il certificato pubblico. Stai anche importando la chiave privata ad essa appartenente.

Penso che l'implicazione principale sia che darai un numero incalcolabile di persone dev e qa alla chiave privata del server di produzione. Ciò significa che con una rapida copia dei file, possono tornare a casa e fare attacchi man-in-the-middle o phishing contro la tua base di utenti.

Oltre alla minaccia da insider, dal momento che presumo che gli ambienti dev e qa abbiano un livello di protezione inferiore rispetto all'ambiente prod, si riduce anche la possibilità per gli hacker di rubare la chiave privata del prod. Ad esempio, una macchina di sviluppo compromessa (ad esempio da un allegato di posta elettronica) probabilmente ha un tempo più semplice per accedere al sistema qa rispetto al sistema prod.

È meglio avere il sistema prod e i sistemi dev / qa utilizzando diverse chiavi private.

    
risposta data 27.11.2017 - 23:27
fonte

Leggi altre domande sui tag

Archiviazione chiavi private in un'applicazione desktop Java Perché OpenVPN utilizza due canali e non solo TLS?