¿Se deben usar certificados de comodín autofirmados?

1

Creo que esto es más una leyenda urbana alrededor de donde trabajo que nada. No veo nada en RFC 2459 que diga específicamente si deben usarse o no, o si existen problemas conocidos con su uso. Sólo dice:

De RFC 2459

  

Finalmente, la semántica de los nombres alternativos del sujeto que incluyen   los caracteres comodín (por ejemplo, como un marcador de posición para un conjunto de nombres) son   No se aborda en esta especificación. Aplicaciones con especifico.   los requisitos pueden usar dichos nombres pero deben definir la semántica ".

Es difícil para mí interpretar toda esa afirmación. Realmente me interesa más la funcionalidad de un comodín autofirmado, pero si hay algún problema de seguridad relacionado con su uso, también me gustaría saberlo.

    
pregunta user53029 13.07.2015 - 17:29
fuente

1 respuesta

3

¿Deben utilizarse certificados comodín?

Generalmente no, y aquí hay una buena lista de razones por las que . Los certificados de Nombre alternativo del sujeto (SAN) proporcionan la mayoría de las funciones sin el mismo nivel de inconvenientes de seguridad. Los comodines se habían convertido principalmente en un atajo perezoso para las personas que no se preocupaban por la seguridad, razón por la cual están desanimados estos días.

¿Se deben usar comodines en los nombres de SAN?

El RFC que ha citado dice que puede usar caracteres comodín en un nombre SAN, pero que no están reservados para significar "comodín", por lo que la interpretación depende del cliente. Si está escribiendo su propio cliente para usar su propio servicio y sus propios certificados, hey, volverse loco. Pero es probable que el navegador de nadie más no juegue.

¿Deben utilizarse certificados autofirmados?

Depende de para qué los estés utilizando. ¿Recursos internos en los que controla el almacén raíz de confianza para los navegadores del cliente? Por supuesto. ¿Alojamiento web barato de sus imágenes de gatito? Por supuesto. De lo contrario, tenga cuidado. Hay muchas buenas preguntas en este sitio si desea conocer los matices de los certificados autofirmados. .

¿La firma automática tiene algo que ver con comodines?

No, no particularmente. Según mi comentario anterior, puede haber confundido SAN y autofirmado. Los certificados con comodines deben evitarse por igual en los certificados autofirmados y firmados por CA. El impacto negativo potencial es un poco menor cuando se autofirma, debido a la limitada confianza del cliente de la CA autofirmada, pero eso no los convierte en una buena idea.

    
respondido por el gowenfawr 13.07.2015 - 17:42
fuente

Lea otras preguntas en las etiquetas