¿Por qué uno puede querer obtener certificados diferentes para diferentes subdominios?

2

Sé que hay algunos trucos para jugar con comodines para hacer que un certificado sea válido para todos los subdominios (como here ), pero mi pregunta es cuál es la razón de diseño por la que se pueden emitir certificados para los subdominios. ¿Por qué alguien puede necesitar obtener diferentes certificados para subdominios? ¿Tiene algún motivo de seguridad que las personas obtengan certificados diferentes para diferentes subdominios de un dominio? Aprecio si alguien puede dar algunos consejos al respecto.

    
pregunta Alex 04.07.2017 - 02:18
fuente

2 respuestas

5

Hay algunos casos para esto:

Anfitriones comprometidos , digamos que tiene una empresa, company.xyz, un comodín y tiene algunas máquinas allí; blog.company.xyz, www.company.xyz, mail.company.xyz, vpn.company.xyz. Si alguien compromete su blog y obtiene la clave privada de ese certificado, todos sus dominios se verán comprometidos. Tener certificados individuales para cada subdominio, no pondría en peligro todo (ssl vpn, servidor de correo) cuando uno de ellos está comprometido.

Proveedores de servicios : algunos proveedores de la nube proporcionan subdominios donde se puede alojar una aplicación en un "dominio libre". Piense en cloudapp.net de Azure, en appspot.com de Google y en amazonaws.com de Amazon . El hecho de que varios usuarios utilicen el mismo proveedor de nube no debería permitir que la capacidad de asegurar sus conexiones sea mejor.

    
respondido por el ndrix 04.07.2017 - 03:19
fuente
2

Los certificados de subdominio son comunes cuando tiene diferentes dominios de seguridad. Por ejemplo, los dominios pueden ser administrados por diferentes equipos de la empresa, cuyos personales no se espera que se crucen. Por ejemplo, la compañía podría tener su repositorio de código administrado por el equipo de TI, pero los entornos de producción administrados por un equipo de Operaciones independiente.

Otra razón común es que tienes entornos de producción y desarrollo separados en subdominios, el subdominio prod puede administrarse con restricciones de seguridad más estrictas que el dev. Puede haber políticas o requisitos legales de la compañía que se pueden separar de los desarrolladores en algunas industrias, lo que puede incluir no reutilizar las mismas claves privadas de productos en otros sistemas.

Otra razón es que puede tener que usar un CDN para gestionar la entrega de sus grandes archivos estáticos, pero no desea que tengan una copia de su clave privada que usa para el resto de los datos más confidenciales de la compañía. Alternativamente, es posible que un proveedor de software como servicio en su dominio personalizado le sirva un subdominio, pero no quiere que el proveedor de SaaS pueda hacerse pasar por el resto de su empresa. Puede utilizar certificados separados para estos terceros, por lo que puede administrar y revocar su certificado por separado sin afectar al resto de la empresa.

    
respondido por el Lie Ryan 04.07.2017 - 03:43
fuente

Lea otras preguntas en las etiquetas