È un problema di sicurezza utilizzare lo stesso certificato auto emesso sia come autorità di certificazione che come certificato del server?

0

Sto configurando un sito per uso interno e verrà servito su HTTPS con un certificato server autofirmato. Per aumentare la sicurezza, voglio anche proteggere il sito con i certificati client.

C'è qualche ragione per utilizzare un'autorità di certificazione separata per firmare i certificati client invece di usare solo la chiave privata del server? Devo già firmarli?

    
posta user2468842 28.08.2017 - 18:36
fonte

2 risposte

1

Quando parli di sicurezza, tutta questa roba SSL autofirmata non ha nulla in comune con la sicurezza. Per implementare la corretta configurazione SSL per la rete interna, devi:

  • Crea il tuo server CA (a seconda della piattaforma, è possibile utilizzare diversi prodotti. Ad esempio, in Windows è possibile utilizzare Servizi certificati Active Directory, in Linux è possibile utilizzare software CA come EJBCA). Il certificato CA sarà autofirmato
  • Fornisci la migliore sicurezza per il tuo server CA: accesso fisico e remoto rigoroso al server.
  • Distribuisci il certificato dell'autorità di certificazione principale autofirmato sull'archivio di fiducia in tutti i client interessati
  • Utilizzare questa CA per emettere certificati per client e server Web
  • Conservare le informazioni di revoca per questi certificati (il server CA pubblicherà periodicamente CRL)

Il motivo è: separazione delle preoccupazioni e sicurezza. Il servizio Web è di default meno sicuro. Ci sono più possibilità che la chiave privata passi dal server web, perché non è possibile garantire una sicurezza adeguata a causa della specializzazione del server web (essere pubblica). Con una CA dedicata puoi fornire una maggiore sicurezza, in modo che meno persone possano accedervi sia fisicamente che a livello di programmazione.

Se perdi il certificato SSL, puoi revocarlo e emetterne uno nuovo. È richiesta una riconfigurazione minima del server. Non è richiesta alcuna riconfigurazione del client. Se si utilizza il certificato CA sul server Web, sarà necessario ricreare tutti i certificati server / client e riconfigurarli tutti in caso di compromissione della chiave.

    
risposta data 28.08.2017 - 19:40
fonte
0

Crypt32 ha fornito informazioni su "come". Ecco un motivo per fare questo il "modo giusto" -

La "giusta via" è probabilmente meno costosa che eseguire la propria CA, distribuire chiavi, ecc. "Let's encrypt" è gratuito. Un carattere jolly di un provider SSL "economico" è di soli $ 100 all'anno e può fornire un certificato per tutti i siti di un dominio. Entrambe le soluzioni sono molto economiche senza l'esecuzione di un server CA, la distribuzione di chiavi, ecc.

    
risposta data 29.08.2017 - 00:10
fonte

Leggi altre domande sui tag