Combinación de certificados SSL específicos para subdominios y comodines

0

No estoy seguro de qué términos de Google usar para encontrar la respuesta, así que pensé que lo pediría aquí, presentado como un escenario:

Supongamos que tiene una entidad corporativa (Ejemplo Co) con un certificado SSL comodín emitido para * .example.com. Tienen un contrato con un proveedor de SaaS y solicitan que el proveedor de SaaS use un dominio personalizado: saas.example.com.

El proveedor de SaaS crea su propia clave privada (no compartida con Example Co), genera un CSR y lo pasa a Example Co., quien luego lo firma con su CA y lo devuelve al proveedor de SaaS para su uso en producción .

Más tarde ese año, la clave privada para el certificado de comodín de Example Co está comprometida, pero no lo saben (por lo que no la revocan). Si los ladrones se conectan con manas en el medio a saas.example.com y presentan el certificado de comodines, ¿el cliente que recibe al hombre en el medio recibirá algún tipo de advertencia relacionada con SSL de su navegador?

    
pregunta ssl-curious 13.03.2015 - 20:46
fuente

1 respuesta

2
  

Si los ladrones se conectan con saas.example.com y presentan el certificado de comodín, ¿el cliente que recibe al hombre en el medio recibirá algún tipo de advertencia relacionada con SSL desde su navegador?

Por lo general, no porque el atacante presente un certificado no revocado que sea válido para el host al que se accede. El cliente solo rechazaría el certificado válido si se usara algún tipo de fijación de certificado y el certificado no coincidiera con la clave pública esperada.

    
respondido por el Steffen Ullrich 13.03.2015 - 22:10
fuente

Lea otras preguntas en las etiquetas