Certificados autofirmados o firmados por CA en servidores internos

2

Necesito habilitar ssl entre nuestros servidores internos. Con "servidores internos" me refiero a habilitar ssl entre un servidor de aplicaciones jee y un servidor backend (es decir, wildfly- > elasticsearch, wildfly- > mongo, wildfly- > mysql y así sucesivamente).

Entonces, para habilitar ssl necesito crear y usar un certificado. Mi pregunta es sencilla: si estos certificados son:

  • ¿Autofirmado?
  • ¿Firmado por un CA?

EDIT

Por otra parte, no entiendo un problema relacionado con los certificados firmados por CA. Cuando solicita un nuevo certificado, los proveedores le piden un dominio. Soy capaz de descubrir para qué sirven las plataformas web, pero ¿qué pasa con los certificados internos firmados por la CA ... para qué sirve este dominio?

    
pregunta Jordi 15.05.2017 - 09:18
fuente

1 respuesta

2

Todo depende de lo que quieras hacer.

Primero, a menos que solo tenga dos máquinas y realmente necesite una solución barata, evite los certificados autofirmados. Son gratuitos y fáciles de generar, pero el mantenimiento se vuelve exponencialmente más difícil a medida que agrega servidores que conducen a un comportamiento inadecuado (confiando ciegamente en los certificados de forma permanente en cada servidor, utilizando certificados con una caducidad muy larga, etc.).

Ahora, hay otras dos opciones: configurar tu CA o usar una raíz externa.

Configurar tu propia CA es complicado: por un lado, es muy fácil de hacer, por el otro, es bastante difícil de hacerlo correcto : hay muchas trampas muy fáciles para caer eso reducirá sustancialmente la seguridad (y, a veces, la facilidad de uso) de su PKI, por lo que es una solución que debe planearse, probarse, implementarse y mantenerse cuidadosamente.

Dicho esto, tener una CA interna (asumiendo que está correctamente configurada y mantenida) le dará muchas herramientas muy poderosas para configurar la seguridad interna y hace que la administración de certificados de servidores individuales sea MUCHO más fácil (en algunas situaciones, puede ser completamente automatizado).

La alternativa es usar una CA comercial. Si se cumplen las siguientes condiciones, entonces es una solución bastante buena:

  • Sus necesidades de seguridad se incluyen en la oferta estándar (por ejemplo, si solo desea proteger servidores web).
  • Planea usar exclusivamente dominios públicos que posee (es decir, no "mycompany.local", sin dirección IP, sin nombres NetBIOS "cortos").
  • Es posible que necesite, en algún momento, ofrecer acceso externo a algunas (o todas) de sus máquinas internas.

Un último consejo: evitar el uso de certificados únicos de comodín en varios servidores. Eso hará que sea más difícil mantener sus claves privadas de forma segura y la violación de un solo servidor dejará a toda su infraestructura en una situación vulnerable.

    
respondido por el Stephane 15.05.2017 - 09:35
fuente

Lea otras preguntas en las etiquetas