Ci sono problemi di sicurezza se i certificati funzionano con sottodomini multi-livello? [duplicare]

1

Se acquisti un dominio, potresti pensare di avere il pieno controllo sui suoi sottodomini. Bene, non necessariamente vero. Come questa domanda e le sue risposte indicano, tu potrebbe richiedere più certificati SSL per coprire sottodomini a più livelli poiché la corrispondenza con caratteri jolly funziona solo con un singolo livello di sottodominio ( ref ).

Ad esempio, *.example.com corrisponderà a foo.example.com ma non a bar.foo.example.com .

Semplicemente non riesco a capire le preoccupazioni relative alla sicurezza. La mia ipotesi migliore è che possa ridurre il numero di vittime quando il certificato è compromesso. Esistono altri vantaggi di sicurezza validi dalla restrizione della corrispondenza dei caratteri jolly?

EDIT: non un dup. Le risposte a questa domanda non sono soddisfacenti dal punto di vista della sicurezza. Sono troppo semplici o si concentrano su qualcos'altro.

    
posta Cyker 26.11.2017 - 18:26
fonte

2 risposte

2

Dovrebbe essere rilasciato un certificato per l'entità che gestisce il dominio specifico. Esistono ambienti in cui diversi sottodomini sono gestiti da entità diverse. Questo è ad esempio il caso nelle università in cui diversi dipartimenti hanno il proprio sottodominio e hanno i propri sistemi all'interno di questo sottodominio. Questi sistemi sono solitamente gestiti dal dipartimento stesso e non centralmente dall'università.

Se *.example.com corrispondesse a tutti i domini sub-domini e sububili, non sarebbe possibile limitare il certificato con caratteri jolly solo agli host gestiti dall'entità specifica.

A parte quei domini sono stati usati in modo diverso nel momento in cui sono stati fatti questi standard. Il sistema dei nomi di dominio è stato effettivamente progettato per essere usato in modo più gerarchico, quindi è usato oggi. L'idea era di usare il nome di dominio come punto di ingresso principale per un'organizzazione, avere sotto-domini per le parti organizzative delle organizzazioni come i dipartimenti e avere nomi di host all'interno dei sottodomini e del dominio principale per identificare i sistemi. Usare solo il nome di dominio principale come in example.com invece di www.example.com è una cosa "relativamente" nuova e anche sotto-domini multi-livello senza avere alcuna struttura organizzativa alle spalle. In questo "vecchio" mondo un progetto di avere il jolly che corrisponda solo a una singola parte ha più senso di quello che sembra fare oggi, dove spesso è più importante che un nome di dominio sembri stravagante di quello che riflette una struttura organizzativa effettiva.

    
risposta data 26.11.2017 - 19:29
fonte
1

La mia comprensione è che molti siti che offrivano servizi di hosting hanno avuto problemi con questo.

Esempio: immagina un sito cheaphosting.com ti offre la possibilità di registrare domini sotto sites.cheaphosting.com . Quindi vado a creare un sito web a mike.sites.cheaphosting.com . Forse sto gestendo le transazioni con carta di credito, quindi mi prendo un certificato TLS per il mio sito.

Ora, se CheapHosting, inc ha un certificato jolly per *.cheaphosting.com e la limitazione del sottodominio non c'era, allora sarebbero in grado di usare questo certificato per man-in-the-middle il mio sito in modo che chiunque si connetta a mike.sites.cheaphosting.com otterrà comunque il blocco verde nel browser, anche se la connessione viene evesa dal certificato jolly di livello superiore.

Allo stesso modo, se un cattivo si è mai impossessato di un certificato con caratteri jolly per *.com senza limite di sottodominio, allora potrebbero avere un 3/4 di Internet man-in-the-middle! Quindi escludiamo subito questo.

    
risposta data 26.11.2017 - 18:34
fonte

Leggi altre domande sui tag