Algunos de nuestros servidores web son administrados por un socio externo que trabaja como nosotros en la misma oficina, usa nuestras computadoras portátiles conectadas a nuestra red corporativa y tiene cuentas de usuario en nuestro AD. Solicitaron y aplicaron certificados comodín para hacer https en algunos de los sitios de IIS (todos ellos con orientación interna).
Alguien en TI expresó la preocupación de que no es aconsejable, desde un punto de vista de seguridad, que los administradores subcontratados soliciten y apliquen certificados en sitios web. Aquí está el argumento:
Con un certificado comodín puede "hacerse pasar" por cualquier servicio, incluso los que no son administrados por el equipo específico en los servidores específicos que tienen un acuerdo para administrar. Si el certificado se filtra fuera de nuestra empresa, podría suponer un riesgo de seguridad, por ejemplo. potencialmente ser utilizado para configurar servicios que pretenden ser propiedad / validados por nosotros cuando no lo son. Es posible que tengamos NDA, pero aún sería una buena práctica IMHO limitar el número de manos con acceso a certificados (yo diría que incluso manos internas), y teniendo en cuenta que incluso usamos nombres de usuario basados en pseudo roles como esperamos. las personas pueden rotar más a menudo que los empleados internos.
Es un certificado interno que no se resolvería en internet. ¿Qué piensan los demás de esto?