Recientemente hemos configurado una autoridad de certificación interna de dos niveles. También distribuimos CA raíz a través de Active Directory, por lo que todos los sistemas (Windows) de nuestra red confían en los certificados de nuestra CA interna.
Nuestros desarrolladores necesitan certificados SSL para sus estaciones de trabajo locales. Una opción sería generarles un certificado comodín como *.foo.bar.com
.
Los beneficios son la facilidad de implementación y la verificación futura (si creamos nuevos subdominios en el futuro, los cubrirá automáticamente).
Sin embargo, la otra cara es que si emitiéramos un certificado comodín, ¿cómo puede estar seguro de que un empleado malintencionado no lo abusará?
Imagine una situación en la que un desarrollador malintencionado configura un sitio web en su estación de trabajo local (mail.foo.bar.com) y, de alguna manera, puede envenenar también el DNS o modificar el archivo local host
de un usuario. Ese certificado de comodín otorga credibilidad a su sitio web malicioso, lo que lo hace parecer más auténtico.
¿Estoy siendo demasiado paranoico? ¿Deberíamos emitir comodines y facilitar el mantenimiento de los certificados o deberíamos generar certificados únicos para cada nombre de DNS para limitar el alcance del uso?
¿Alguien tiene algún pensamiento? ¿Experiencias?
EDITAR
A mi parecer, hay dos soluciones muy buenas publicadas aquí:
-
Dev / test separado y producción en CA independientes como recomendado por @Kotzu. Para nosotros personalmente No puedo justificar la creación de una segunda CA solo para ese propósito. Es demasiado esfuerzo para la cantidad de certificados que tenemos (40 en total de los cuales 10-20 son dev). Dicho esto, totalmente creo que es la mejor respuesta.
-
Modifique la estructura de nombres de DNS como recomendado por @immbis para que la parte "dev" del nombre sea el subdominio, no el subdominio. De este modo, hacer el comodín más obviamente un dominio dev. Esto aliviaría mis preocupaciones acerca de la emisión de certificados de comodines en gran medida. Entonces, la suplantación solo puede ocurrir para
*.dev.ourdomain.com
, con lo que estoy de acuerdo. Dicho esto, simplemente lo hemos codificado en demasiados lugares para que esto sea práctico.
Creo que lo que terminaremos haciendo es continuar emitiendo certificados SSL completos a cada desarrollador. Eso se siente más seguro, ya que deja mucho menos margen de maniobra para que una persona maliciosa abuse o se haga pasar por un recurso legítimo. Toda esta situación es un poco de un caso de colas de todos modos. Espero que nuestros desarrolladores en general no actúen maliciosamente y traten de crear sitios falsos. Es solo que no quiero entregar certificados de comodines de confianza como dulces gratis solo para que luego se puedan usar de una manera inesperada.
Si necesitamos más y más certificados y la emisión de certificados individuales se vuelve inmanejable, consideraremos configurar una segunda CA en la que solo confían las estaciones de trabajo dev (no toda la compañía) y emitir nuevos certificados comodín.