¿Es posible tener máquinas diferentes para el mismo dominio, con certificados diferentes?

Navega tus respuestas
2

Tenemos dos máquinas que sirven un sitio web a través de HTTP. El sitio web / dominio tiene dos registros "A", que es la forma en que la carga se distribuye de forma robusta.

Queremos tener HTTPS para este sitio web. El problema es que las diferentes máquinas que alojan este sitio web son mantenidas por diferentes personas. ¿Hay algún método para tener un certificado HTTPS en ambas máquinas para un dominio? ¿Letsencrypt soporta esta configuración?

¿Algún truco / método para fortalecer esta configuración? P.ej. Si una máquina está comprometida, la otra no debería estarlo. Entonces, si el certificado se roba de uno, ¿existe alguna prevención para el dominio por uso incorrecto? Tal vez PFS podría ayudar?

    
pregunta whoonetets 24.01.2018 - 12:11
fuente

2 respuestas

2

¿Puede un dominio tener múltiples servidores controlados por diferentes entidades

Sí, pero será necesario que exista cierta coordinación para obtener los certificados SSL

Cómo puede funcionar la coordinación (depende del desafío de ACME utilizado)

  • HTTP

    • Trabajando juntos

      Cada vez que uno de los 2 hosts desea renovar un certificado, deberá implementar un archivo .well_known en ambos servidores, de modo que no importa cuál de ellos permita el acceso cifrado, ellos obtengan el archivo correcto.

    • Centralizado

      Puede ejecutar un servidor adicional, al que ambas partes pueden enviar archivos, y hacer que ambos servidores redirijan cualquier solicitud de .well_known a este servidor

  • DNS

    • Acceso completo

      Cualquiera de los 2 hosts necesitaría poder agregar registros DNS para pasar las comprobaciones

    • API personalizada

      Se puede configurar una API para que los 2 hosts puedan enviar una respuesta ACME y que se sirva

Limitar el impacto de las infracciones

Dado que los servidores deben poder generar certificados SSL, si se infringen, podrán generar certificados.

Al utilizar Must-Staple , se puede reducir el impacto de las fugas de certificados actuales, pero esto no ayudará si se le indica al host que haga nuevos certificados sin esto después de la generación.

Usando los registros de CT, puede observar certificados no válidos, y utilizando CAA puede limitar qué CA emitirán certificados, lo que ayudará a reducir el impacto de la infracción.

Incluso podría usar CAA para deshabilitar los certificados por completo, y solo permitir la emisión contactándolo y eliminando manualmente el registro hasta que se haya emitido el certificado, reduciendo su ventana de ataque, pero aumentando la sobrecarga de gestión.

    
respondido por el jrtapsell 24.01.2018 - 15:01
fuente
0

Puede usar diferentes certificados para el mismo dominio y diferentes máquinas. No es explícitamente compatible con Let's Encrypt, pero también puede obtener certificados diferentes para el mismo dominio si proporciona un CSR diferente. Pero tenga en cuenta que será difícil automatizar la actualización del certificado en dicha configuración, ya que la validación de las solicitudes requiere cambios en el sitio web en ambas máquinas o en el DNS. Esto significa que incluso si las dos máquinas son administradas por administradores diferentes, de alguna manera necesitan trabajar juntos para que otras puedan renovar el certificado de su máquina.

Además, si el atacante tiene acceso a un certificado (es decir, lo ha comprometido en una máquina), este certificado robado podría usarse con ataques MITM siempre que no esté revocado y también sea conocido por los clientes. Pero los navegadores a menudo no hacen o no revisa adecuadamente las verificaciones. Tampoco importa en este caso si la segunda máquina aún tiene otro certificado, ya que es suficiente que el atacante tenga un certificado válido para el dominio. Además, si la máquina está en peligro, es muy probable que el atacante pueda obtener más certificados para el dominio de Let's Encrypt.

    
respondido por el Steffen Ullrich 24.01.2018 - 13:47
fuente

Lea otras preguntas en las etiquetas

¿Los navegadores web (https) también utilizan un certificado de WiFi (Radius)? SSH a IP en lugar de a un nombre de host completo: ¿esto reduce el riesgo de MITM?