¿Debería cada servicio que se ejecuta en un dominio tener un certificado separado?

Navega tus respuestas
1

Tengo un nombre de dominio con DNS dinámico (DDNS) para mi servidor doméstico en el que expongo múltiples servicios (servidor web, wikis, rastreadores de problemas, etc.) en línea. Algunos servicios están alojados en el mismo software (por ejemplo, el servidor web del sitio web y la wiki se ejecutan en diferentes puertos atendidos por la misma instancia apache2 , otros por software separado (por ejemplo, rastreador de problemas)). Solo tengo el nombre de dominio sin subdominios y distingo el servicio por puertos no estándar (por ejemplo, 1234 a 1243). Hasta ahora he usado certificados autofirmados para aprender administración y obtener un mínimo de seguridad. Que todo funciona bien.

Ahora, obtuve un certificado SSL de letsencrypt.org y quiero usarlo para tantos servicios como sea posible.

¿Es una mejor práctica usar la menor cantidad posible de certificados / mantener la cadena lo más corta posible o se considera mejor tener un certificado separado para cada servicio / puerto? El primero sigue el paradigma KISS, pero un problema con el certificado afectaría a todos los servicios (no conozco ninguno, pero podría haber alguno), el segundo aumentaría el mantenimiento en el momento de la creación, configuración y renovación.

Puede haber problemas que surjan después de la disponibilidad general de IPv6 con los que no estoy muy firme.

    
pregunta Karl Richter 20.07.2016 - 14:02
fuente

2 respuestas

4

"La complejidad es el enemigo de la seguridad"

Siempre buscaría utilizar la menor cantidad posible de certificados por varias razones, principalmente debido a la facilidad de administración. Según tengo entendido, letsencrypt actualmente no permite certificados de comodín (estos certificados esencialmente le permiten asegurar todos los subdominios de un dominio donde los certificados tradicionales solo permiten una URL específica (es decir, secure.domain.com)).

Ahora, con eso dicho, los certificados de comodines tienen una prima y pueden ser bastante costosos, especialmente si los usa simplemente para uso personal. En ese caso, es posible que deba ingresar varios certificados y exponerlos a través de puertos no estándar, como lo describió, sin embargo, en un entorno profesional, me gustaría utilizar certificados de comodín simplemente por la facilidad de administración. Cuanto más fácil sea la administración, menos probabilidades tendrá de perder algo / arruinar una configuración que reduce su imagen de vector de ataque.

    
respondido por el DKNUCKLES 20.07.2016 - 14:27
fuente
3

Depende de múltiples factores, estrategia de gestión de certificados, políticas, etc.

Para aplicaciones web de propósito general, usaría un solo certificado por máquina si usen nombres diferentes. Puede ejecutar certificados separados por servicio, pero esto aumentará los esfuerzos administrativos en la administración de certificados. Si elige un certificado único para todas las aplicaciones, aumenta las posibilidades de romperlas en el caso de que se produzca un error en el certificado (una especie de punto único de error). Creo que, menos certezas tienes, menos problemas tienes.

    
respondido por el Crypt32 20.07.2016 - 14:29
fuente

Lea otras preguntas en las etiquetas

¿Ventajas con la autenticación del código PIN donde los dígitos se colocan en posiciones aleatorias? ¿Mi enrutador y sistema operativo “saben” qué URL visito, si se usa SSL?