¿Por qué este certificado es válido para tantos dominios?

15

Si observa el certificado (no válido) para enlace , dice que solo es válido para los siguientes nombres:

El certificado solo es válido para los siguientes nombres y luego una lista de aproximadamente 100 nombres.

¿No es peligroso tener un certificado para varios dominios?

    
pregunta jdoe 23.10.2012 - 19:35
fuente

5 respuestas

17

Parece que este certificado funciona para muchos dominios porque es parte de un CDN. Los CDN, o las redes de distribución de contenido, entregan archivos que son siempre los mismos (o "estáticos"). El logo del sitio, algunas reglas de estilo para el sitio web, esas cosas. La página en sí puede cambiar, por ejemplo, dependiendo de si está conectado, pero a menudo las imágenes (y demás) no cambian.

Este CDN se usa porque cuanto más cerca esté un servidor, más rápido se cargará la página. Sin embargo, no todos tienen los recursos para instalar docenas de servidores en todo el mundo, por lo que compañías como Cloudflare y Akamai ofrecen su espacio CDN (y una gran red que puede manejar gran cantidad de tráfico), al igual que el hosting se está vendiendo.

Para proporcionar todos los datos de forma segura (y evitar errores de contenido mixto), el certificado utilizado por el servidor de la CDN debe ser válido para todos los dominios para los que alberga archivos. Es un riesgo poder falsificar tantos dominios mediante el robo de una única clave privada (y solo necesita acceso a uno de los cientos de servidores), pero parece superar los beneficios. Parece que también son en su mayoría subdominios (o quizás solo subdominios, no los he comprobado).

    
respondido por el Luc 23.10.2012 - 19:55
fuente
11

El certificado pertenece a EdgeCast, un CDN .

Su trabajo es servir contenido en nombre de otras compañías. Los servidores que hacen esto generalmente manejan los resultados de cientos o miles de dominios diferentes, y tienen miles de servidores para este propósito dispersos por todo el mundo. Simplemente, hay demasiados dominios alojados en estos servidores para dar a cada uno su propia IP, por lo que si desean servir archivos CDN a través de SSL, tienen que compartir un solo certificado SSL.

El beneficio marginal de servir archivos alojados en CDN a través de SSL es mínimo, pero es particularmente importante si pretende incluir esos archivos en una página entregada por SSL. Recuerde que si su página es SSL, todas las imágenes, secuencias de comandos y otros recursos también deben entregarse a través de SSL, sin importar de qué dominio provienen.

Tenga en cuenta que ninguno de los dominios SSL es el dominio "principal" del sitio. En su lugar, son nombres como images.goldstar.com y content.truste.com . Las compañías no están compartiendo su propio certificado SSL privado con todos sus vecinos; este certificado no funcionará en goldstar.com o truste.com . En cambio, están entregando el control de un subdominio de un solo propósito a edgecast y permitiendo que edgecast incluya todos estos subdominios específicos de edgecast en un solo certificado específicamente para este propósito.

NOTA
¿En quién confías con la clave de tu sitio? Edgecast, por supuesto. Sí, otras compañías también tienen el mismo certificado, pero la clave privada no es controlada por usted ni por ninguna de ellas; es controlado por EdgeCast. Confía en la infraestructura de EdgeCast para no permitir que el contenido de ninguna otra compañía sea visible en su dominio. Este es el mismo grado de confianza que siempre otorga implícitamente a cualquier compañía a la que le permita servir contenido en su nombre. El certificado no cambia realmente esa relación.

    
respondido por el tylerl 23.10.2012 - 20:33
fuente
2

Tener un certificado para varios dominios crea un único punto de falla. Sin embargo, si un atacante obtiene la clave privada, entonces probablemente tenga problemas más grandes en sus manos.

    
respondido por el rook 23.10.2012 - 19:43
fuente
2

Se denominan certificados UCC / SAN. Cuando quiere asegurar más de un dominio, compra un certificado UCC. Es muy rentable en comparación con la compra de un certificado SSL regular. Muchos proveedores de certificados utilizan 2048 bits para generar las claves, así que no creo que haya ningún compromiso en términos de seguridad.

Aquí está el enlace a Wikipedia que compara diferentes certificados. enlace

Espero que ayude ...

    
respondido por el avakharia 25.10.2012 - 19:04
fuente
2

Algunas empresas utilizan certificados con nombres SAN porque facilita la renovación y la gestión de certificados. Implementar 1 certificado en 100 sitios web es más fácil que implementar 100 certificados en 100 sitios web.

¿Es menos seguro? Sí, es menos seguro solo en el sentido técnico. Muchas veces, las necesidades de negocios de la facilidad de administración anticipan el pensamiento de seguridad convencional. Pueden tener poco personal y solo tienen tiempo suficiente para hacer el mínimo de seguridad. El argumento contrario es que no pueden hacer SSL en absoluto si es demasiado difícil (lo he visto suceder)

Tal vez no necesiten la seguridad y estén utilizando SSL para la vanidad (o seguridad asumida) de un sitio web determinado. Estaría bien descargar imágenes usando un certificado con un espacio de nombres SAN hinchado como ese, sin embargo, no querría usar ningún sitio del banco o del gobierno que figure en dicho certificado.

    
respondido por el random65537 31.10.2012 - 00:29
fuente

Lea otras preguntas en las etiquetas