Varios certificados SSL en el equilibrador de carga

6

Estamos discutiendo con nuestro departamento de Operaciones sobre certificados SSL comodín. Nuestro propósito es prohibir todos los certificados de comodines (como * .domain.com) para aplicaciones web expuestas a Internet debido a sus posibles riesgos de seguridad, al menos en el entorno de producción.

Al no tomar en consideración los costos asociados con la compra de certificados (uno por aplicación web), afirman que la solución no es viable porque todos los certificados SSL se administran en el equilibrador de carga.

No tengo experiencia en la gestión del equilibrador de carga; Supongo que es como una configuración de Apache con más de un host virtual, cada host virtual con su certificado (es decir, enlace ). Una noticia reciente de Akamai dice que SNI es ampliamente adoptado ( enlace ) .

¿Cuáles son las dificultades reales en la administración de muchos certificados en un equilibrador de carga?

¿Existen algunas mejores prácticas de fuentes autorizadas?

    
pregunta wladiolo 30.03.2017 - 16:25
fuente

1 respuesta

1
  

Al no tomar en consideración los costos asociados con la compra de certificados (uno por aplicación web), afirman que la solución no es viable porque todos los certificados SSL se administran en el equilibrador de carga.

Podría decirse que esta es una pregunta de error del servidor, ya que se trata de la configuración de un equilibrador de carga. Es imposible para nosotros responder completamente porque no sabemos qué configuración está usando su empresa. Sin embargo, en general, agregar certificados adicionales no debería ser difícil; debe ser solo de unas pocas líneas de configuración, y la gente de operaciones debe tener scripts de administración de configuración que les permitan agregar otro certificado a una matriz y permitir que las herramientas generen la configuración resultante.

Sin embargo, un enfoque mucho más común es usar un certificado SAN que contenga entradas para todos de los nombres de dominio que espera usar. Eche un vistazo al certificado aquí, por ejemplo:

EstotambiénesusadocomúnmenteporlosCDNparaquenonecesitenadministrarunmontóndecertificadosdecadaunodesusclientes:

El problema clave aquí, por supuesto, es que necesita renovar el certificado al agregar un nuevo dominio. Para combatir esto, requeriría un aviso por adelantado de que desea agregar un nuevo dominio y agrupar un grupo de ellos en un nuevo certificado; por lo tanto, si renueva certificados cada año y agrega dominios nuevos mensualmente, tendrá doce certificados instalados en el equilibrador de carga, uno para cada mes.

    
respondido por el Xiong Chiamiov 12.11.2017 - 22:00
fuente

Lea otras preguntas en las etiquetas