Ogni servizio in esecuzione su un dominio deve avere un certificato separato?

1

Ho un nome di dominio con DNS dinamico (DDNS) per il mio server di casa sul quale espongo online più servizi (server web, wiki, inseguitori di problemi, ecc.). Alcuni servizi sono ospitati dallo stesso software (ad esempio server Web per sito Web e wiki eseguiti su diverse porte servite dalla stessa istanza apache2 , altri da software separato (ad esempio, il programma di rilevamento problemi)). Possiedo solo il nome di dominio senza sottodomini e distinguo il servizio da porte non standard (ad esempio da 1234 a 1243). Finora ho utilizzato i certificati autofirmati per imparare l'amministrazione e ottenere un minimo di sicurezza. Tutto funziona bene.

Ora ho ricevuto un certificato SSL da letsencrypt.org e voglio usarlo per quanti più servizi possibile.

È meglio usare il minor numero possibile di certificati / mantenere la catena più corta possibile o è meglio avere un certificato separato per ogni servizio / porta? Il primo segue il paradigma KISS, ma un problema con il certificato interesserebbe tutti i servizi (non ne conosco nessuno, ma potrebbero esserne alcuni), il secondo aumenterebbe la manutenzione in fase di creazione, configurazione e rinnovo.

Potrebbero esserci problemi che sorgono dopo la disponibilità generale di IPv6 di cui non sono molto fermo.

    
posta Karl Richter 20.07.2016 - 14:02
fonte

2 risposte

4

"La complessità è il nemico della sicurezza"

Vorrei cercare sempre di utilizzare la quantità minima di certificati possibile per una serie di motivi, principalmente a causa della facilità di amministrazione. Mi risulta che letsencrypt non stia attualmente consentendo i certificati con caratteri jolly (questi certificati consentono essenzialmente di proteggere tutti i sottodomini di un dominio in cui i certificati tradizionali consentono solo un URL specifico (ad esempio secure.domain.com).

Ora, con quello detto, i cerattivi con caratteri jolly hanno un valore elevato e possono essere piuttosto costosi, specialmente se li usi semplicemente per uso personale. In tal caso, potresti scoprire che dovrai digitare più certificati ed esporli tramite porte non standard come hai descritto, tuttavia in ambito professionale andrei con i caratteri jolly semplicemente per la facilità di amministrazione. Più semplice è l'amministrazione meno è probabile che ti manchi qualcosa / rovina una configurazione che riduce il tuo vettore di attacco.

    
risposta data 20.07.2016 - 14:27
fonte
3

Dipende da più fattori, strategia di gestione dei certificati, criteri e così via.

Per le applicazioni Web di carattere generale, utilizzerei un singolo certificato per macchina se usano nomi diversi. È possibile eseguire certificati separati in base al servizio, ma ciò aumenterà gli sforzi amministrativi nella gestione dei certificati. Se si utilizza un singolo certificato per tutte le applicazioni, si aumenta la possibilità di interromperle in caso di errore del certificato (una sorta di singolo punto di errore). Penso che meno certs ti maneggi, meno problemi ottieni.

    
risposta data 20.07.2016 - 14:29
fonte

Leggi altre domande sui tag