Certificati autofirmati o firmati dalla CA nei server interni

2

Devo abilitare ssl tra i nostri server interni. Con "server interni" intendo abilitare ssl tra un server di applicazioni jee e un server di backend (cioè wildfly- > elasticsearch, wildfly- > mongo, wildfly- > mysql e così via).

Quindi, per abilitare ssl ho bisogno di creare e usare un certificato. La mia domanda è semplice: questi certificati dovrebbero essere:

  • Auto-firmato?
  • Firmato da una CA?

Modifica

D'altra parte, non capisco un problema relativo ai certificati firmati dalla CA. Quando richiedi un nuovo certificato, i provider ti chiedono un dominio. Sono in grado di capire a cosa serve sulle piattaforme web, ma per quanto riguarda i certificati interni firmati dalla CA ... A cosa serve questo dominio?

    
posta Jordi 15.05.2017 - 09:18
fonte

1 risposta

2

Dipende tutto da cosa vuoi fare.

Innanzitutto, a meno che tu non abbia solo due macchine e abbia davvero bisogno di una soluzione economica, evita i certificati autofirmati. Sono gratuiti e facili da generare ma la manutenzione diventa esponenzialmente più difficile quando si aggiungono server che conducono a comportamenti scorretti (ci si fidata ciecamente di certificati permanenti su ogni server, utilizzando certificati con scadenza molto lunga, ecc.).

Ora ci sono altre due opzioni: configurazione di CA o uso di una root esterna.

Configurare la propria CA è complicato: da un lato è molto facile da eseguire, dall'altro è piuttosto difficile farlo giusto : ci sono un sacco di trappole molto facili da innamorare ciò ridurrà sostanzialmente la sicurezza (e talvolta l'usabilità) della PKI, quindi è una soluzione che deve essere attentamente pianificata, testata, implementata e mantenuta.

Detto questo, avere una CA interna (supponendo che sia configurata e mantenuta correttamente) ti darà un sacco di strumenti molto potenti per l'impostazione della sicurezza interna e semplifica la gestione dei singoli certificati del server MOLTO (in alcune situazioni, può essere completamente automatizzato).

L'alternativa è usare una CA commerciale. Se le seguenti condizioni sono soddisfatte, allora è una soluzione piuttosto buona:

  • Le esigenze di sicurezza ricadono nell'offerta standard (ad esempio, se si desidera proteggere i server Web).
  • Hai intenzione di utilizzare esclusivamente domini di tua proprietà (ad es. "mycompany.local", nessun indirizzo IP, nessun nome NetBIOS "breve").
  • Potresti aver bisogno, ad un certo punto, di offrire l'accesso esterno ad alcune (o tutte) delle tue macchine interne.

Un ultimo consiglio: evitare l'uso di certificati jolly singoli su più server. Ciò renderà più difficile mantenere le tue chiavi private in sicurezza e la violazione di un singolo server lascerà l'intera infrastruttura vulnerabile.

    
risposta data 15.05.2017 - 09:35
fonte

Leggi altre domande sui tag