Sicurezza / disponibilità SSL solo per sottodominio

0

CAcert e StartSSL convalidano entrambi i domini il cui TLD è di proprietà del richiedente. Ho alcuni sottodomini che provengono da luoghi come freeDNS su cui vorrei eseguire un server protetto SSL. Ci sono CA che offrono questo servizio gratuitamente e, in tal caso, quali sono i possibili difetti di sicurezza creati lì? Mi sembra che il proprietario del TLD non possa fare nulla se il sottodominio si limita a reindirizzare al server in cui è memorizzato il certificato, quindi non dovrebbe essere un problema del genere.

    
posta bright-star 09.12.2013 - 03:49
fonte

2 risposte

2

È difficile. La "proprietà" del dominio reale avviene a livello di cancelliere. I sottodomini possono essere distribuiti dal registrante di dominio, ma tale livello di proprietà è difficile da verificare e i termini e la durata del controllo su un determinato sottodominio non sono necessariamente chiari alla CA. Di conseguenza, le CA che eseguono una semplice convalida del controllo di dominio negheranno categoricamente tali richieste; non si adatta alle regole di sicurezza che hanno impostato.

Invece, tale richiesta dovrebbe passare attraverso il proprietario del dominio, come FreeDNS. Sono l'unica parte in grado di determinare realisticamente se un tale certificato debba essere concesso e per quanto tempo, e quindi sono quelli con cui l'AC vorrebbe parlare.

Una soluzione migliore è registrare il proprio TLD. Il DNS dinamico può ancora essere eseguito con il proprio nome di dominio, in più semplifica l'interazione con le CA e altre organizzazioni simili.

In alternativa, puoi sempre utilizzare un certificato autofirmato. I certificati autofirmati sono altrettanto sicuri dei certificati firmati dalla CA, purché sia possibile verificare che il sito stia pubblicando il certificato . Infatti, se stai eseguendo la convalida dei certificati personalizzati nel tuo browser, in realtà è più sicuro di un certificato firmato da CA perché non sei soggetto ad attacchi che coinvolgono certificati malevoli ma firmati correttamente.

    
risposta data 09.12.2013 - 05:37
fonte
1

Attenzione che SSL richiede anche un indirizzo IP fisso per i certificati emessi dalla CA. Vedi SO Question . Sebbene sia possibile utilizzare certificati autofirmati, i browser genereranno messaggi di avviso spaventosi.

È sicuramente un problema il fatto che SSL con un certificato rilasciato dalla CA richieda di avere un TLD e un indirizzo IP fisso.

    
risposta data 09.12.2013 - 22:05
fonte

Leggi altre domande sui tag