Me pregunto cuáles son las mejores prácticas con respecto a la delegación de la autoridad para aprobar la emisión de certificados SSL.
Uno de nuestros proveedores (www.vendordomain.com) pronto nos ofrecerá una aplicación web (www.mydomain.com) con un enfoque SaaS. La aplicación web se alojará en uno de nuestros subdominios (theservice.mydomain.com) y, por supuesto, estará protegida con SSL. Tanto nuestra organización como el proveedor son organizaciones grandes (de miles a decenas de miles de usuarios); No estamos hablando de una operación de mamá y papá aquí.
Como parte del paquete, el proveedor insiste en que obtendrá el certificado SSL de su CA. Se niegan rotundamente a enviarnos un CSR para que podamos obtener un certificado de nuestra CA.
Acabo de descubrir que la razón por la que lo hacen es porque están usando un solo certificado SSL para todos sus clientes, y cada cliente aparece como un nombre alternativo del sujeto.
Para mí, esto parece estar muy alejado de las mejores prácticas. ¿Me equivoco? ¿Han cambiado las mejores prácticas en el mundo SaaS centrado en la nube? ¿O este proveedor simplemente está explotando su posición de casi monopolio para impulsar las malas prácticas para su conveniencia?
Y si esto no es la mejor práctica, ¿qué tan grave es este problema? Mi respuesta inicial había sido "¡No, no!" O debería ser más silencioso "No es una gran idea, pero es tolerable?"
También veo una serie de preocupaciones técnicas específicas, y me pregunto qué tan graves son:
- ¿Este enfoque no rompería ningún registro de CAA?
- ¿Puede este enfoque funcionar con certificados EV?
- ¿Es un problema de seguridad usar un solo certificado con todos sus clientes como nombres alternativos del sujeto? Me preocupa que un pirata informático pueda usar esa información para ingresar a uno de los otros sitios en el mismo servidor y luego aprovechar esa información para penetrar nuestros datos en el servidor.
Finalmente, una pregunta muy amplia: ¿sería esto algo que podría marcar una auditoría de seguridad (asumiendo que está dentro del alcance de la auditoría, por supuesto), o sería un problema con alguna de las diversas regulaciones de seguridad o privacidad de los datos? p>