Опасность использования ваилдкард ССЛ сертификатов

Снижение финансового, операционного и технологического риска является серьезной проблемой для крупных организаций. Но это выходит за рамки простого использования простого SSL-сертификата, а также включает в себя право SSL на правильных сайтах, которыми управляет соответствующий человек, используя правильные политики и процедуры. Может показаться, что легче, менее трудоемко и дешево использовать SSL сертификат wildcard домаи валидацион (DV). Крупным организациям необходимо серьезно подумать о потенциальном влиянии их сертификатов SSL, не связанных с бизнесом, с неограниченным охватом сети поддоменов, попадающая в руки сотрудника-изгоев, жулика или злонамеренного нападающего. Представьте себе, какой ущерб может причинить несанкционированный пользователь с ключами всей сети поддоменов? Вообразите ущерб, который лишенный полномочий человек мог нанести с ключами ко всей сети субдомена? По этим причинам мы не рекомендуем, чтобы любые крупные компании использовали ваилдкард сертификат SSL очень осторожно. Слишком много ответственности за один сертификат SSL.

DV Wildcards сертификат конечно имеет право быть. Они отлично подходят для малых и средних предприятий с несколькими поддоменами, что позволяет им безопасно защищать окружающую среду. Но мы рекомендуем крупным организациям диверсифицировать свой портфель SSL, используя сертификаты SSL для проверки подлинности организации (OV) или Extended Validation (EV) для общедоступных и частных сетей. Вот 5 причин:

1. Администратор сертификата должен быть уполномоченным сотрудником, который проходит телефонную проверку перед выпуском CA.
2. Центр сертификации задокументировал контрольные журналы процесса выдачи и могут предоставить подробную информацию организациям для внутреннего обзора.
3. Риск компромитации значительно снижается за счет защиты только одного домена; а не всей сети поддоменов.
4. Неизвестные субдомена оказывают меньше влияния, так как все поддомены контролируются.
5. Конролируемый отзыв сертификата, так как регистрационные номера явно связаны с уникальными доменными именами.

У вас есть много сотрудников, и один решает купить подстановочный субдоменный DV ссл сертификат, используя анонимные данные. Если вы увольняете сотрудника, который создал исходную пару ключей и забываете отозвать SSL сертификат, предоставляя своему бывшему сотруднику доступ к закрытому ключу и SSL-сертификату, а также возможность развернуть фишинг-атаку, а не только на один, но на любой поддомен. Задайте себе вопрос: как вы эффективно определяете и реагируете на нарушение, если у вас нет видимости? Конкретные примеры творят чудеса, когда дело доходит до создания ценности и риска для реальности в их повседневном мире.