Un dominio può avere più server controllati da entità diverse

Sì, ma sarà necessario un certo coordinamento per ottenere i certificati SSL

Come funziona il coordinamento (dipende dalla sfida ACME utilizzata)

• HTTP

  • Lavorando insieme

    Ogni volta che uno dei 2 host desidera rinnovare un certificato, è necessario distribuire un file .well_known su entrambi i server, in modo che, indipendentemente da quale licenza di accesso consenta, ottengano il file giusto.

  • centralizzata

    Puoi eseguire un server aggiuntivo, su cui entrambe le parti possono inviare i file, e fare in modo che entrambi i server reindirizzino qualsiasi richiesta di .well_known su questo server

• DNS

  • Accesso completo

    Uno dei due host dovrebbe essere in grado di aggiungere record DNS per superare i controlli

  • API personalizzata

    Un'API può essere configurata in modo che i 2 host possano inviare una risposta ACME e averla servita

Limitazione dell'impatto delle violazioni

Poiché i server devono essere in grado di generare certificati SSL se vengono violati, saranno in grado di generare certificati.

Utilizzando Must-Staple è possibile ridurre l'impatto degli attuali leak che possono essere ridotti, ma questo non aiuta se l'host è incaricato di creare nuovi certificati senza questo dopo la generazione.

Utilizzando i registri CT puoi vedere certs non validi e, usando CAA, puoi limitare le CA che emetteranno certificati, il che contribuirà a ridurre l'impatto sulla violazione.

Potresti anche utilizzare CAA per disattivare completamente i certificati e consentire solo l'emissione contattandoti e rimuovendo manualmente il record fino a quando il certificato non è stato emesso, riducendo la finestra di attacco, ma aumentando il carico di gestione.

È possibile utilizzare diversi certificati per lo stesso dominio e macchine diverse. Non è esplicitamente supportato da Let's Encrypt ma puoi ottenere diversi certificati per lo stesso dominio anche se fornisci CSR diversi. Si noti tuttavia che sarà difficile automatizzare l'aggiornamento del certificato in tale configurazione poiché la convalida delle richieste richiede modifiche sul sito Web su entrambe le macchine o sul DNS. Ciò significa che anche se entrambe le macchine sono amministrate da amministratori diversi, hanno in qualche modo bisogno di lavorare insieme per consentire agli altri di rinnovare il certificato per la sua macchina.

Inoltre, se l'autore dell'attacco ha accesso a un certificato (cioè lo ha compromesso su una macchina), questo certificato rubato potrebbe essere utilizzato con attacchi MITM fino a quando non viene revocato e noto anche per essere revocato dai client. Ma i browser spesso non fanno o no controlli di revoca adeguati. Non importa in questo caso se la seconda macchina ha ancora un altro certificato poiché è sufficiente che l'autore dell'attacco disponga di un certificato valido per il dominio. Inoltre, se la macchina è compromessa, è molto probabile che l'autore dell'attacco possa ottenere più certificati per il dominio da Let's Encrypt.