Stiamo utilizzando un'autorità di certificazione interna per la nostra azienda. Abbiamo notato che è possibile aggiungere come subjectAltName il nome host senza il dominio. Stiamo usando example.org per server interni ed esempio.com per server esterni pubblici.
es. invece di usare mysite.example.org, possiamo creare un certificato come:
Oggetto: CN = mysite.example.org
subjectAltName = DNS.1 = mysite.example.org, DNS.2 = mysite
In questo modo le persone possono utilizzare link e funzionerà. La ricerca DNS è example.org e example.com.
Ho 3 domande:
- è sicuro?
- quali sono i problemi di sicurezza che potrebbero causare questa configurazione?
- qual è il tipo di attacco che qualcuno potrebbe trarre vantaggio da questa configurazione.
Modifica1 : sembra che le autorità di certificazione pubbliche si stiano allontanando dai certificati di firma utilizzando un "nome interno": link e link