È possibile avere macchine diverse per lo stesso dominio, con diversi certificati?

2

Abbiamo due macchine che servono un sito web via HTTP. Il sito web / dominio ha due record "A", ovvero il modo in cui il carico viene distribuito su base circolare.

Vogliamo avere HTTPS per questo sito web. Il problema è che le diverse macchine che ospitano questo sito sono gestite da persone diverse. Esiste un metodo per avere un certificato HTTPS su entrambe le macchine per un dominio? Letsencrypt supporta questa configurazione?

Qualche trucco / metodo per rafforzare questa configurazione? Per esempio. se una macchina è compromessa, l'altra non dovrebbe essere. Quindi, se il certificato viene rubato da uno, qualsiasi prevenzione per il dominio per uso errato? Forse PFS potrebbe aiutare?

    
posta whoonetets 24.01.2018 - 12:11
fonte

2 risposte

2

Un dominio può avere più server controllati da entità diverse

Sì, ma sarà necessario un certo coordinamento per ottenere i certificati SSL

Come funziona il coordinamento (dipende dalla sfida ACME utilizzata)

  • HTTP

    • Lavorando insieme

      Ogni volta che uno dei 2 host desidera rinnovare un certificato, è necessario distribuire un file .well_known su entrambi i server, in modo che, indipendentemente da quale licenza di accesso consenta, ottengano il file giusto.

    • centralizzata

      Puoi eseguire un server aggiuntivo, su cui entrambe le parti possono inviare i file, e fare in modo che entrambi i server reindirizzino qualsiasi richiesta di .well_known su questo server

  • DNS

    • Accesso completo

      Uno dei due host dovrebbe essere in grado di aggiungere record DNS per superare i controlli

    • API personalizzata

      Un'API può essere configurata in modo che i 2 host possano inviare una risposta ACME e averla servita

Limitazione dell'impatto delle violazioni

Poiché i server devono essere in grado di generare certificati SSL se vengono violati, saranno in grado di generare certificati.

Utilizzando Must-Staple è possibile ridurre l'impatto degli attuali leak che possono essere ridotti, ma questo non aiuta se l'host è incaricato di creare nuovi certificati senza questo dopo la generazione.

Utilizzando i registri CT puoi vedere certs non validi e, usando CAA, puoi limitare le CA che emetteranno certificati, il che contribuirà a ridurre l'impatto sulla violazione.

Potresti anche utilizzare CAA per disattivare completamente i certificati e consentire solo l'emissione contattandoti e rimuovendo manualmente il record fino a quando il certificato non è stato emesso, riducendo la finestra di attacco, ma aumentando il carico di gestione.

    
risposta data 24.01.2018 - 15:01
fonte
0

È possibile utilizzare diversi certificati per lo stesso dominio e macchine diverse. Non è esplicitamente supportato da Let's Encrypt ma puoi ottenere diversi certificati per lo stesso dominio anche se fornisci CSR diversi. Si noti tuttavia che sarà difficile automatizzare l'aggiornamento del certificato in tale configurazione poiché la convalida delle richieste richiede modifiche sul sito Web su entrambe le macchine o sul DNS. Ciò significa che anche se entrambe le macchine sono amministrate da amministratori diversi, hanno in qualche modo bisogno di lavorare insieme per consentire agli altri di rinnovare il certificato per la sua macchina.

Inoltre, se l'autore dell'attacco ha accesso a un certificato (cioè lo ha compromesso su una macchina), questo certificato rubato potrebbe essere utilizzato con attacchi MITM fino a quando non viene revocato e noto anche per essere revocato dai client. Ma i browser spesso non fanno o no controlli di revoca adeguati. Non importa in questo caso se la seconda macchina ha ancora un altro certificato poiché è sufficiente che l'autore dell'attacco disponga di un certificato valido per il dominio. Inoltre, se la macchina è compromessa, è molto probabile che l'autore dell'attacco possa ottenere più certificati per il dominio da Let's Encrypt.

    
risposta data 24.01.2018 - 13:47
fonte

Leggi altre domande sui tag