¿Es seguro usar el certificado SSL Cloudflare gratuito ya que se comparte con otros dominios?

12

Tengo una cuenta gratuita de Cloudflare donde administro mi dominio (es decir, mydomain.com) y uso el certificado SSL gratuito (modo Full SSL) para obtener SSL en un subdominio (blog.mydomain.com alojado con Github Páginas).

La raíz del dominio no está protegida por Cloudflare SSL pero tiene su propio certificado SSL separado.

Como probablemente sepa, el certificado SSL de Cloudflare se comparte entre varios dominios (a menudo sitios para adultos) y es un tipo comodín. (por lo que contiene * .mydomain.com, * .malicious.com, mydomain.com, malware.com)

La aplicación web está alojada en mydomain.com y app.mydomain.com también está protegida con su propio certificado SSL. ¿Pueden estos dominios de alguna manera estar en peligro porque comparten un certificado con malicioso.com y malicioso.com probablemente tenga acceso al mismo certificado SSL compartido con midominio.com?

    
pregunta user35912 12.12.2015 - 15:32
fuente

1 respuesta

8
  

La aplicación web alojada en mydomain.com o en app.mydomain.com (también protegida con su propio certificado SSL) puede ser peligrosa por parte del propietario de malware.com porque tiene acceso al mismo certificado SSL compartido por mydomain.com?

El propietario del dominio malintencionado no tiene acceso al certificado de clave privada que entrega Cloudflare y usted tampoco. Los certificados para las cuentas gratuitas son propiedad de Cloudflare y solo Cloudflare tiene acceso a la clave privada del certificado (compartido).

Tampoco es un problema que compartas el mismo certificado y / o dirección IP con un dominio potencialmente malicioso. El mismo origen dentro de los navegadores solo se preocupa por los nombres de dominio, no por los certificados o las direcciones IP, por lo que no es posible obtener acceso desde el dominio malicioso a su dominio. Por supuesto, los ataques CSRF, XSS ... habituales todavía funcionan, pero no están relacionados con el mismo certificado o no, sino con problemas de seguridad de una aplicación web específica.

    
respondido por el Steffen Ullrich 12.12.2015 - 16:00
fuente

Lea otras preguntas en las etiquetas