Mi sto chiedendo quali sono le migliori pratiche in merito alla delega dell'autorità per approvare l'emissione di certificati SSL.
Uno dei nostri fornitori (www.vendordomain.com) ospiterà presto un'applicazione Web per noi (www.mydomain.com) con un approccio SaaS. L'applicazione Web sarà ospitata in uno dei nostri sottodomini (theservice.mydomain.com) e sarà ovviamente protetta con SSL. Sia la nostra organizzazione che il venditore sono grandi organizzazioni (da migliaia a decine di migliaia di utenti); non stiamo parlando di un'operazione mom-and-pop qui.
Come parte del pacchetto, il fornitore insiste che otterrà il certificato SSL dalla propria CA. Si rifiutano di inviarci una CSR per ottenere un certificato dalla nostra CA.
Ho appena scoperto che il motivo per cui lo fanno è che stanno utilizzando un singolo certificato SSL per tutti i loro client, con ogni client elencato come Nome alternativo soggetto.
Per me, questo sembra molto lontano dalle migliori pratiche. Ho sbagliato: le migliori pratiche sono cambiate nel mondo SaaS cloud-centrico? Oppure questo venditore sta semplicemente sfruttando la loro posizione quasi monopolistica per spingere le cattive pratiche per la loro convenienza?
E se questa non è la migliore pratica, quanto è serio un problema? La mia risposta iniziale era stata "No. Heck No!" O dovrebbe essere un suono più muto "Non è una grande idea, ma è tollerabile?"
Vedo anche una serie di problemi tecnici specifici e mi chiedo quanto siano gravi:
- Questo approccio non romperebbe alcun record CAA?
- Un simile approccio può funzionare con i certificati EV?
- Sta usando un singolo certificato con tutti i suoi clienti come Soggetto Nomi alternativi un problema di sicurezza? Sono preoccupato che un hacker possa utilizzare quell'interruzione delle informazioni in uno degli altri siti sullo stesso server, e quindi sfruttarlo per penetrare i nostri dati sul server.
Infine, una domanda molto ampia: sarebbe una cosa che potrebbe essere segnalata da un controllo di sicurezza (supponendo che rientri nell'ambito dell'audit, ovviamente), o essere un problema con una qualsiasi delle varie norme sulla sicurezza dei dati o sulla privacy?