Utilizzo di un breve nome host nei certificati X509

2

Stiamo utilizzando un'autorità di certificazione interna per la nostra azienda. Abbiamo notato che è possibile aggiungere come subjectAltName il nome host senza il dominio. Stiamo usando example.org per server interni ed esempio.com per server esterni pubblici.

es. invece di usare mysite.example.org, possiamo creare un certificato come:

Oggetto: CN = mysite.example.org
subjectAltName = DNS.1 = mysite.example.org, DNS.2 = mysite

In questo modo le persone possono utilizzare link e funzionerà. La ricerca DNS è example.org e example.com.

Ho 3 domande:

  • è sicuro?
  • quali sono i problemi di sicurezza che potrebbero causare questa configurazione?
  • qual è il tipo di attacco che qualcuno potrebbe trarre vantaggio da questa configurazione.

Modifica1 : sembra che le autorità di certificazione pubbliche si stiano allontanando dai certificati di firma utilizzando un "nome interno": link e link

    
posta Mircea Vutcovici 14.12.2016 - 18:00
fonte

1 risposta

1

is it secure?

un po 'meno del FQDN. Il problema con i nomi brevi è il nome ambiguità. FQDN è univoco in pubblico, ma non è necessario essere nelle reti private. Il problema con i nomi brevi è il nome ambiguità e nient'altro. È accettabile l'uso di nomi brevi in piccole reti private, tuttavia è impossibile mantenerli su reti di grandi dimensioni. Non c'è niente di sbagliato se si utilizza un nome breve univoco nelle reti private. Tuttavia, potrebbe esserci un problema quando più dispositivi con provisioning di fabbrica sono configurati per condividere lo stesso nome breve.

what is the type of attack that someone could take advantage of this config.

un utente malintenzionato deve ancora falsificare il meccanismo di risoluzione dei nomi (DNS per FQDN e NetBIOS per i nomi brevi) per reindirizzare il client all'host canaglia con lo stesso nome.

    
risposta data 14.12.2016 - 18:28
fonte

Leggi altre domande sui tag