Perché si potrebbe voler ottenere certificati diversi per sottodomini diversi?

2

So che ci sono alcuni trucchi per giocare con i caratteri jolly per rendere un certificato valido per tutti i sottodomini (come qui ), ma la mia domanda è quale sia la ragione di progettazione che i certificati possano essere emessi per i sottodomini. Perché qualcuno potrebbe aver bisogno di ottenere certificati diversi per i sottodomini? Ha qualche motivo di sicurezza che le persone ottengano certificati diversi per diversi sottodomini di un dominio? Apprezzo se qualcuno può dare qualche suggerimento su di esso.

    
posta Alex 04.07.2017 - 02:18
fonte

2 risposte

5

Esistono alcuni casi per questo:

Host compromessi , diciamo che hai una società, company.xyz, un carattere jolly e alcune macchine lì; blog.company.xyz, www.company.xyz, mail.company.xyz, vpn.company.xyz. Se qualcuno compromette il tuo blog e ottiene una sospensione della chiave privata del certificato, tutti i tuoi domini sono compromessi. Avere certificati individuali per ogni sottodominio, non metterebbe a rischio tutto (ssl vpn, server di posta) quando uno di essi è compromesso.

Fornitori di servizi : alcuni fornitori di servizi cloud forniscono sottodomini in cui è possibile ospitare un'applicazione su un "dominio gratuito". Pensa a cloudapp.net di Azure, a appspot.com di Google e a amazonaws.com di Amazon . Il fatto che diversi utenti utilizzino lo stesso provider cloud non dovrebbe prendere in considerazione la possibilità di proteggere meglio le sue connessioni.

    
risposta data 04.07.2017 - 03:19
fonte
2

I certificati di sottodominio sono comuni quando si hanno domini di sicurezza diversi. Ad esempio, i domini possono essere gestiti da diversi team nell'azienda, di cui non si prevede che le persone possano attraversare. Ad esempio, la società potrebbe avere il proprio repository di codice gestito dal team IT ma gli ambienti di produzione gestiti da un team operativo separato.

Un altro motivo comune è che si dispone di ambienti di sviluppo e di sviluppo separati nei sottodomini, il sottodominio prod può essere gestito con vincoli di sicurezza più rigidi rispetto a dev. Potrebbe esserci una politica aziendale o requisiti legali che possono essere separati da dev in alcuni settori, il che potrebbe includere il non riutilizzo delle stesse chiavi private prod in altri sistemi.

Un altro motivo è che potresti dover utilizzare una CDN per gestire i tuoi file statici di grandi dimensioni, ma non vuoi che abbiano una copia della chiave privata che utilizzi per il resto dei dati più sensibili dell'azienda. In alternativa, è possibile che un sottodominio venga effettivamente offerto da un provider Software-as-a-Service nel dominio personalizzato ma non desideri che il provider SaaS sia in grado di impersonare il resto della tua azienda. È possibile utilizzare certificati separati per queste terze parti, in modo da poter gestire e revocare il certificato separatamente senza influire sul resto dell'azienda.

    
risposta data 04.07.2017 - 03:43
fonte

Leggi altre domande sui tag