Mejores prácticas, ¿quién debería ser responsable de la configuración de HTTPS?

Question

Mejores prácticas, ¿quién debería ser responsable de la configuración de HTTPS?

#1 de Pascal (5 votos)
#2 de Jason (2 votos)

5

Trabajo para una consultoría que desarrolla aplicaciones web internas e intranet. No poseemos ni administramos ninguna infraestructura, pero sí instalamos y apoyamos las aplicaciones. Hemos recibido una solicitud solicitándonos que asumamos la configuración y la administración de HTTPS / SSL en un servidor web. ¿Hay alguna razón por la que esto corresponda al desarrollador de aplicaciones en lugar del equipo de infraestructura de TI que administrará y administrará el servidor?

Tal como lo entiendo, el certificado pertenecería al servidor y, idealmente, debería ser administrado por quienes son dueños del servidor. No tengo conocimiento de ninguna razón por la cual la aplicación deba conocer el certificado que requiere la los desarrolladores serán los dueños de la configuración del servidor web.

¿Cuál es la mejor práctica para esto? especialmente cuando los desarrolladores son terceros que trabajan en nombre de un cliente.

Edit: en este caso estamos tratando con aplicaciones sencillas de LOB CRUD, por lo que no puedo pensar en ningún caso especial que requiera que la aplicación haga algo inusual. ¡No es que quiera desalentar las respuestas que puedan aplicarse a otras personas que puedan estar en esa situación!

tls

pregunta Neil P 31.10.2016 - 13:36

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls

¿Qué tan peligroso es hacer referencia a una variable fuera de su vida útil? Acceso al servidor HSTS con un navegador no compatible

score 5 · Answer 1

Un caso de vanguardia en el que podría tener sentido responsabilizar los certificados ssl de los desarrolladores de aplicaciones / aplicaciones:

Si su aplicación era accesible a través de múltiples nombres de dominio, y estos nombres de dominio estaban controlados por la propia aplicación, entonces tendría sentido para los desarrolladores de la aplicación / aplicación configurar un sistema para extender automáticamente el certificado a la nueva lista de Dominios cada vez que un dominio fue añadido.

Esto también podría ser relevante para las aplicaciones que permiten a los usuarios crear sus propios subdominios (por ejemplo, john.example.com y jane.example.com), pero creo que en ese caso, lo que normalmente haría es obtener un certificado comodín que abarcaría * .example.com, y en ese caso no sería necesario que los desarrolladores de aplicaciones / aplicaciones se encarguen del certificado).

Aparte de eso, no veo una razón por la cual un consultor externo deba encargarse de los certificados ssl de un cliente. De hecho, lo vería como una desventaja, ya que desde un punto de vista de seguridad agregaría un punto de falla adicional; después de todo, si el consultor se encargara de obtener un certificado para el servidor del cliente, también tendría acceso. a la clave privada, y esto podría ser una responsabilidad tanto para el cliente como para el consultor:

El cliente nunca pudo estar seguro de quién tenía acceso a sus comunicaciones cifradas con los clientes de sus , ya que no podía saber si el consultor que obtuvo el certificado ssl para él tomó toda la atención necesaria para mantenga la clave privada segura, y en caso de que haya una violación de la privacidad con consecuencias financieras (o públicas), el consultor podría tener que demostrar repentinamente que no fue su culpa para no ser responsabilizado.

Entonces, si fuera usted, aconsejaría al cliente contra la adquisición e implementación de certificados de outsourcing si es posible (por supuesto, si no tienen sus propios técnicos, entonces no hay forma de evitarlo).

score 2 · Answer 2

He visto que la responsabilidad de los certificados de cualquier manera depende de las circunstancias, pero diría que, en general, depende de si tiene un contrato de mantenimiento con el cliente. Si tiene un contrato de mantenimiento, es probable que esperen que renueve sus Dominios, Certificaciones, etc. a lo largo del tiempo; Entonces, tú deberías ser el que las instale. Si no tiene un contrato de mantenimiento, esa responsabilidad debe recaer en su personal de TI.