Ci sono degli svantaggi di sicurezza nell'usare il certificato SSL di produzione in ambienti non prod?

2

Il mio cliente ha un certificato jolly * .thierdomain.com che sta utilizzando per una mezza dozzina di siti Web di produzione.

Per ciascuno di questi siti ci sono duplicati in diversi ambienti, dev, qa, pre-prod, ecc.

Fino ad ora altri ambienti oltre a prod non avevano affatto un certificato SSL in quanto non c'erano funzionalità https specifiche. Quindi i siti giravano solo su http (all'interno della rete aziendale) per non-prod, e solo su https per prod.

Ora stiamo aggiungendo alcune funzionalità che vorrei testare sia su http che su https in un singolo ambiente.

Di solito uso certs autofirmati per questo, ma questo client ha già un certificato con caratteri jolly. Sarebbe così semplice avere questo CERT installato su server Web di altri ambienti.

Ci sono implicazioni di sicurezza negative di questo?

    
posta Andrew Savinykh 29.05.2015 - 02:03
fonte

1 risposta

7

Suppongo che l'ambiente test / dev sia più "aperto" di Prod, in termini di chi può accedervi con i privilegi di amministratore, ecc. Se questo è il caso, ad es. il team di sviluppo e / o le risorse esterne hanno accesso all'ambiente aggiuntivo, quindi potenzialmente aumenta il rischio di compromissione della chiave privata.

Se questo è un problema, vorrei estrapolare e acquistare $ 10 certificati SSL per ogni ambiente di sviluppo / test / ecc. In questo modo la chiave del codice jolly rimane su prod, e non dovrà essere revocata + sostituita se la chiave per qualsiasi motivo cadrà nelle mani sbagliate ...

    
risposta data 29.05.2015 - 02:34
fonte

Leggi altre domande sui tag