¿Puedo de alguna manera requerir un certificado específico para un dominio?

Navega tus respuestas
0

Mi caso de uso es el siguiente:

He configurado los dyndns para acceder a mi servidor doméstico desde Internet. Si utilizo un certificado DV o un certificado autofirmado, no estoy autentificando la máquina sino el dominio. .

Si mi cuenta se agota, alguien puede adquirir fácilmente el dominio y usarlo, por ejemplo. le permite encriptar para obtener un certificado válido. En este punto, mis aplicaciones podrían intentar conectarse a la máquina y transmitir datos confidenciales que me gustaría evitar.

Supongo que hacer esto de forma genérica es imposible, pero me encantaría recibir soluciones parciales que, por ejemplo, funciona solo en un Firefox.

La única idea que tengo hasta ahora es configurar un script que verifique periódicamente los certificados y me avise de alguna manera si cambian. Eso, por supuesto, deja una ventana para los ataques.

    
pregunta Elias 23.06.2017 - 17:49
fuente

2 respuestas

1

De su descripción no queda completamente claro cuál es su problema realmente. Pero me parece que temes que alguien pueda obtener la propiedad del dominio sin que te des cuenta de este problema. Esto podría ser, por ejemplo, porque no ha extendido el registro del dominio o debido a alguna inseguridad en el vendedor del dominio o en la protección de su cuenta allí.

Basándose en este temor, usted argumenta que alguien puede configurar un servidor para este dominio y obtener un certificado para él y replicar su contenido en este nuevo servidor para que no se dé cuenta de que algo raro está sucediendo aquí y, por lo tanto, felizmente ingresará datos confidenciales.

La protección en este caso es la fijación de claves. Con la clave, su navegador sabrá qué clave pública espera en el certificado y no se conectará al sitio si la clave no coincide con sus expectativas, como sería el caso si hubiera un nuevo certificado que no le pertenece. La fijación de claves se puede configurar utilizando el encabezado HPKP.

Consulte esta documentación para saber cómo configurar su servidor para proporcionar el encabezado HPKP y cómo determinar el contenido del encabezado.

    
respondido por el Steffen Ullrich 23.06.2017 - 19:35
fuente
1

¿No podría comprar un nombre de dominio, CNAME que apunte a su DynDNS? Por lo tanto, utiliza el nombre de dominio que acaba de comprar, luego compra / le permite cifrar un certificado SSL para el nuevo dominio y usarlo. (Si ya tiene un nombre de dominio aún mejor, simplemente configure un CNAME con ese nombre, personalmente evitaría cualquier aplicación que se conecte al nombre DynDNS, ya que esto le otorga una mayor flexibilidad en el futuro si elige un proveedor de DNS dinámico diferente, o incluso obtiene una IP estática)

Un certificado DV es absolutamente correcto para este escenario. Los otros certificados, como EV, autentican a la compañía y no proporcionan una ventaja real en su situación. Si usted es altabero paranoico acerca de la falsificación de su nombre de dominio, siempre puede verificar que la clave pública del certificado sea la esperada cada vez que intente conectarse.

También existe la CAA (Autorización de Autoridad de Certificación) que podría aplicar (Ser muy nuevo no se usa mucho, y aún no está vigente técnicamente) pero vale la pena leerlo: enlace

    
respondido por el ISMSDEV 23.06.2017 - 18:03
fuente

Lea otras preguntas en las etiquetas

Colocación de sensores NIDS en la red de una organización ¿La VPN de la frambuesa pi hace algo?