Posso richiedere in qualche modo un certificato specifico per un dominio?

Naviga le tue risposte
0

Il mio caso d'uso è il seguente:

Ho creato dyndns per accedere al mio server di casa da internet. Se utilizzo un certificato DV o un certificato autofirmato, in realtà non sto autenticando la macchina ma solo il dominio .

Se il mio account si esaurisce, qualcuno può facilmente acquisire il dominio e utilizzare per es. letsencrypt per ottenere un certificato valido. A questo punto le mie applicazioni potrebbero provare a connettersi alla macchina e trasmettere dati sensibili che vorrei evitare.

Suppongo che fare questo in modo generico sia impossibile, ma sarei felice delle soluzioni parziali che, ad es. funziona solo su Firefox.

L'unica idea che ho finora è quella di creare uno script che controlli periodicamente i certificati e mi allarmi in qualche modo se cambiano. Questo, ovviamente, lascia una finestra per gli attacchi.

    
posta Elias 23.06.2017 - 17:49
fonte

2 risposte

1

Dalla tua descrizione non è completamente chiaro quale sia il tuo problema. Ma mi sembra che tu abbia paura che qualcuno sia in grado di ottenere la proprietà del dominio senza che tu te ne renda conto. Ciò potrebbe essere dovuto ad esempio al fatto che non è stato possibile estendere la registrazione del dominio o a causa di una certa insicurezza presso il venditore del dominio o nella protezione del proprio account.

Sulla base di questo timore, sostieni che qualcuno è in grado di configurare un server per questo dominio e ottenere un certificato per questo e replicare il tuo contenuto su questo nuovo server in modo che non ti accorgerai che qualcosa di strano sta succedendo qui e quindi inserirà felicemente i dati sensibili.

La protezione in questo caso è la chiave pinning. Con il blocco delle chiavi, il browser riconosce la chiave pubblica che si aspetta nel certificato e non si connetterà al sito se la chiave non corrisponde alle sue aspettative, come sarebbe se un nuovo certificato non fosse di tua proprietà. Il blocco dei tasti può essere impostato utilizzando l'intestazione HPKP.

Vedi questa documentazione per come configurare il tuo server per fornire l'intestazione HPKP e come determinare il contenuto dell'intestazione.

    
risposta data 23.06.2017 - 19:35
fonte
1

Potresti non comprare un nome di dominio, CNAME per indicare il tuo DynDNS. Pertanto, si utilizza il nome di dominio appena acquistato, quindi si acquista / consente di crittografare un certificato SSL per il nuovo dominio e di utilizzarlo. (Se hai già un nome di dominio ancora meglio, basta impostare un CNAME con quello, personalmente eviterei qualsiasi applicazione che si connetta al nome DynDNS in quanto ciò ti dà una maggiore flessibilità in futuro se dovessi scegliere un provider DNS dinamico diverso, o addirittura ottenere un IP statico)

Un certificato DV va assolutamente bene per questo scenario. Gli altri certificati, come EV, autenticano la società e non forniscono alcun vantaggio reale nella tua situazione. Se sei paranoico in più sullo spoofing del tuo nome di dominio, puoi sempre verificare che la chiave pubblica del certificato sia quella che ci si aspetta ogni volta che tenti di connetterti.

Esiste anche il CAA (Autorizzazione dell'autorità di certificazione) che è possibile applicare (Essendo molto nuovo non è ampiamente utilizzato, e non è ancora tecnicamente valido), ma vale la pena leggere: link

    
risposta data 23.06.2017 - 18:03
fonte

Leggi altre domande sui tag

Disk Encryption vs File Encryption per Embedded Linux? Fa una VPN raspberry pi fare qualcosa?