Instale el mismo certificado en servidores públicos y servidores dev / qa

3

Trabajo con una aplicación y el sitio principal tiene un certificado de comodín emitido por CA para * .example.com.

Tenemos varios subdominios de cara al público, por ejemplo, app.example.com / cdn.example.com y varios entornos de dev / qa, por ejemplo. qa.example.com que no están disponibles sin estar detrás del firewall corporativo.

Al investigar un problema de contenido mixto, cuando comencé a hablar con los individuos de la red sobre certificados de raíz de confianza y la política de grupo de los cuadros de desarrollo, noté que el certificado principal era un certificado de comodín. Lo que me lleva a la pregunta:

¿Existen implicaciones de seguridad negativas al solicitar que el certificado público se importe en los cuadros de desarrollo?

    
pregunta ste-fu 27.11.2017 - 23:14
fuente

1 respuesta

4

No solo estás importando el certificado público. También está importando la clave privada que le pertenece.

Creo que la principal implicación es que darás a un número incalculable de desarrolladores y personas q acceso a la clave privada del servidor de producción. Eso significa que con una copia rápida del archivo, pueden ir a casa y realizar ataques de phishing contra su base de usuarios.

Además de la amenaza interna, dado que asumo que sus entornos de desarrollo y qa tienen menos seguridad que su entorno de producción, también está bajando el listón para que los piratas informáticos roben la clave privada del servidor de producción. Por ejemplo, una máquina de desarrollo comprometida (por ejemplo, desde un archivo adjunto de correo electrónico) probablemente tenga un acceso más fácil al sistema qa que al sistema prod.

Es mejor tener sus sistemas prod y dev / qa usando diferentes claves privadas.

    
respondido por el Mike Ounsworth 27.11.2017 - 23:27
fuente

Lea otras preguntas en las etiquetas