¿Es un problema de seguridad utilizar el mismo certificado autoemitido como autoridad de certificación y como certificado de servidor?

0

Estoy configurando un sitio para uso interno y se servirá a través de HTTPS con un certificado de servidor autofirmado. Para aumentar la seguridad, también quiero asegurar el sitio con certificados de cliente.

¿Hay alguna razón para usar una autoridad de certificación separada para firmar los certificados de cliente en lugar de usar la clave privada del servidor que ya tengo que firmar?

    
pregunta user2468842 28.08.2017 - 18:36
fuente

2 respuestas

1

Cuando se habla de seguridad, todo este material SSL autofirmado no tiene nada en común con la seguridad. Para implementar la configuración SSL adecuada para la red interna, debe:

  • Cree su propio servidor de CA (dependiendo de la plataforma, se pueden usar diferentes productos. Por ejemplo, en Windows puede usar Servicios de certificados de Active Directory, en Linux puede usar software de CA como EJBCA). El certificado de CA será autofirmado
  • Proporcione la mejor seguridad para su servidor de CA: acceso físico y remoto estricto al servidor.
  • Distribuya el certificado de CA raíz autofirmado al almacén de confianza en todos los clientes afectados
  • Utilice esta CA para emitir certificados a clientes y servidores web
  • Mantenga la información de revocación de estos certificados (el servidor de CA publicará periódicamente las CRL)

La razón es - separación de preocupaciones y seguridad. El servidor web es por defecto menos seguro. Hay más posibilidades de que la clave privada se filtre desde el servidor web, ya que no puede garantizar una seguridad adecuada debido a la especialización del servidor web (ser público). Con una CA dedicada, puede proporcionar una mejor seguridad, por lo que menos personas pueden acceder a ella, ya sea física o programáticamente.

Si pierde el certificado SSL, puede revocarlo y emitir uno nuevo. Se requiere una reconfiguración mínima del servidor. No se requiere reconfiguración del cliente. Si usa el certificado de CA en el servidor web, tendrá que volver a crear cada certificado de servidor / cliente y reconfigurarlos todos en el caso de un compromiso clave.

    
respondido por el Crypt32 28.08.2017 - 19:40
fuente
0

Crypt32 dio información sobre "cómo". Aquí hay una razón para hacer esto de la "manera correcta" -

La "forma correcta" es probablemente menos costosa que ejecutar su propia CA, distribuir claves, etc. "Vamos a cifrar" es gratis. Un comodín de un proveedor de SSL "barato" cuesta solo $ 100 / año y puede proporcionar un certificado para todos los sitios en un dominio. Cualquiera de las soluciones es muy económica sin ejecutar un servidor de CA, distribuir claves, etc.

    
respondido por el MikeP 29.08.2017 - 00:10
fuente

Lea otras preguntas en las etiquetas