¿Alguna razón para no usar la misma clave para múltiples dominios SSL en un servidor?

Question

¿Alguna razón para no usar la misma clave para múltiples dominios SSL en un servidor?

#1 de D.W. (11 votos)

7

Supongamos que he generado una clave de servidor para que la use Apache para SSL. El servidor manejará varios dominios diferentes que usan SSL a través de IP únicas (sin SNI).

Quiero generar un CSR para cada dominio desde la misma clave, firmarlo y luego configurar cada dominio para presentar el certificado apropiado.

¿Hay alguna razón por la que deba generar una clave de servidor para cada dominio en lugar de hacerlo si todos los dominios se alojarán en el mismo servidor?

public-key-infrastructure tls

pregunta Tom Marthenal 30.07.2012 - 06:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure tls

¿Es posible el secuestro de sesión a través de sessionId? ¿Qué cifrado (si corresponde) se utiliza en las tarjetas de crédito electrónicas?

score 11 · Accepted Answer

Puedo ver dos razones principales por las que es posible que no quieras reutilizar la misma clave:

Resiliencia de compromiso: Si la clave privada se filtra y la ha reutilizado para varios dominios, entonces se verán afectados varios dominios. Si usa claves privadas separadas y las almacena en un servidor separado, el compromiso de una no afecta a las otras. Si planea hospedar todos los dominios en un solo servidor, esto probablemente no importa, pero el uso de claves separadas puede preservar su flexibilidad para cambiar los detalles de hospedaje.
Pruebas de futuro: Supongamos que un día en el futuro el propietario de uno de los dominios dice "Me gustaría comenzar a alojar el dominio yo mismo. ¿Podría darme el certificado y la clave privada?" para ese dominio? " Si ha reutilizado la misma clave privada para múltiples dominios, no puede obligarlos.

O similarmente, tal vez un día uno de estos dominios se volverá muy popular, y querrá comprar varios servidores para hospedarlo y comenzar a equilibrar la carga entre ellos. Si ha reutilizado la misma clave privada, entonces todos esos servidores deben recibir la clave privada común, y si alguno de los servidores está comprometido, todos los dominios están protegidos. Por otro lado, si usa claves privadas separadas, entonces puede dar a cada uno de esos servidores nuevos una copia de la clave privada para el dominio que se hizo muy popular.

Estas consideraciones pueden o no importar en su situación particular. Puede decidir por sí mismo los beneficios de tener una sola clave privada, frente a la flexibilidad para el futuro de tener varias claves privadas.