Domanda:
Esiste una ragione legittima per installarsi come CA root?
Dan Pantry
2015-12-01 15:42:37 UTC
view on stackexchange narkive permalink

Risposta da commenti su un'altra domanda.

C'è qualche motivo per cui potresti installarti come CA root sulla tua rete? L'unico motivo che mi viene in mente è costringere i computer della rete a fidarsi dei tuoi certificati autofirmati invece di farli firmare digitalmente da una CA di terze parti.

Non è abbastanza questo motivo? Non c'è nessuno di cui ti puoi fidare più di te stesso e le CA di solito vogliono soldi e scartoffie prima di darti un certificato.
non è una ragione sufficiente per me; un certificato costa poco nel grande schema delle cose. I certificati autofirmati vanno benissimo per lo sviluppo, ma non vorrei usarli in produzione.
@DanPantry Ma hanno un costo. Un certificato jolly ti costerà 200 $, se ne prendi o ne prendi alcuni. Se sei come me, hai 20 VM nella tua LAN per il download, Owncloud, Ampache ecc. Difficilmente vorresti pagare per un dominio e un certificato jolly (o 20 singoli) solo per uso privato in LAN. E non iniziare nemmeno con l'autenticazione del certificato ...
@Sebb $ 200 non è un sacco di soldi per le grandi aziende
@DanPantry Sì, ma non è quello che una CA addebiterà per i certificati client per ciascuno di poche migliaia di dipendenti. Inoltre, hai chiesto della "tua rete" e per me 200 $ sono una buona scheda grafica o 8 TB di spazio di backup.
Nessuna società sana di mente utilizzerà un certificato jolly senza molta considerazione: perdere il controllo su uno di questi è una vera seccatura. Inoltre, i certificati con caratteri jolly non sono disponibili per i sottodomini, non è possibile ottenerli per la firma del codice, o e-mail, ecc.
@Stephane Se perdono il controllo su uno, possono disinstallarlo da tutti i computer.
La tua domanda chiede "c'è qualche motivo?" (la risposta è "sì, duh") ma il tuo titolo chiede "c'è qualche motivo * legittimo *?". Inoltre, quali ragioni sono legittime?
@immibis sono motivi legittimi che non implicano la manomissione o lo "spionaggio" (in mancanza di una parola migliore) sull'interazione dell'utente. In sostanza, cosa puoi fare con quello che non è un attacco MITM
Dove posso ottenere un certificato di firma del codice attendibile per 200 $?
C'è il caso banale, dove l'azienda in questione è una CA ...
@Ben Vero, anche se presumo che la stragrande maggioranza delle aziende (me compreso) non siano CA
@DanPantry In realtà, la maggior parte delle aziende ha ora la propria infrastruttura PKI e quindi agisce come autorità di certificazione. Ciò che non sono, tuttavia, è pubblicamente attendibile per impostazione predefinita.
@Dan Sono corretto
@DanPantry "La maggior parte" potrebbe essere stata una parola rischiosa da usare per me, ma è certamente molto comune ora. Generalmente ho bisogno di richiedere certificati pubblici solo quando ci si aspetta che le macchine non aziendali, al di fuori della rete, utilizzino qualunque sia la tecnologia. All'interno si tratta quasi sempre di richiedere semplicemente un certificato interno. Non è una risposta reale, perché la tua domanda è molto specifica, ma molti dei miei certificati servono a garantire servizi interni parlando con servizi interni: sarebbe un completo spreco di fondi usare certificati pubblici lì
@Philipp `Non c'è nessuno di cui ti puoi fidare più di te stesso`. Non lo sapremo mai.
@PandaLion98 In effetti, "qualcuno di cui posso fidarmi più di me stesso" è un livello molto basso; è ancora una barra che pochi umani si sono mai avvicinati alla radura.
Usa [Let's Encrypt] (https://letsencrypt.org/) e non devi preoccuparti di tutto questo.
Sette risposte:
Philipp
2015-12-01 15:56:01 UTC
view on stackexchange narkive permalink

È necessaria una CA personalizzata se si desidera utilizzare https sulla intranet aziendale. Le CA di terze parti possono fornire certificati solo per domini pubblici. Non ti daranno certificati per intranet.local o altri nomi host che vengono instradati solo nella tua rete. Quindi, quando desideri avere un certificato per la tua intranet o per l'interfaccia web dei tuoi server, devi aggiungere una CA personalizzata e firmarla tu stesso.

Potresti chiederti "Perché dovrei usare https sulla mia rete "? Attualmente c'è una tendenza a implementare tutto come un'applicazione basata su browser. Ciò significa che sempre più processi vengono gestiti tramite interfacce web interne, comprese quelle sensibili. Ad esempio, la nostra azienda sta attualmente implementando un'applicazione intranet basata sul Web per visualizzare le nostre buste paga (e, si spera, solo le nostre). Ma nelle organizzazioni più grandi, la rete interna può diventare così grande e complessa che non si può più parlare di LAN privata. L'intercettazione da parte di aggressori interni diventa una possibilità che non può essere cancellata, quindi la crittografia interna diventa una ragionevole precauzione.

Questo è un punto interessante. Non ho tenuto conto del fatto che non puoi avere domini interni firmati da terze parti.
Questo è solo il caso a partire dal 1 novembre. I certificati firmati prima del 1 luglio di quest'anno non saranno revocati fino all'ottobre del prossimo anno. (Fonte: [Comodo] (https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/722/16/).) È positivo che se ne vadano, poiché non può rivendicare la proprietà su un nome interno, _ chiunque_ avrebbe comunque potuto ottenere un certificato per esso.
@user2428118 CA che creano certificati per domini privati ​​è deprecato da luglio * 2012 *. Personalmente non capisco perché ci siano voluti così tanto tempo per deprecare quella pratica, perché è abbastanza irresponsabile certificare un dominio che significa qualcosa di completamente diverso su ogni rete.
Le LAN non sono sicure come pensiamo: quasi chiunque possa entrare in ufficio può collegare qualcosa a una porta ethernet gratuita. Questa è una buona ragione per utilizzare HTTPS internamente.
@Philipp Hai ragione, avrei dovuto leggerlo con più attenzione.
È possibile utilizzare un dominio pubblico per le applicazioni interne, ma successivamente bloccare l'accesso al server Web in base all'indirizzo IP di origine. Ciò è anche più flessibile quando le aziende si fondono e le reti vengono combinate.
Anche se non puoi ottenere un certificato per intranet.local (più, e vergogna per le CA che lo farebbero), puoi ottenerne uno per intranet.mycompany.com (o solo * .mycompany.com, se sei a tuo agio con le implicazioni della diffusione più ampia di un certificato wildcart), anche se quel dominio è accessibile solo dall'interno della tua rete interna. Questo è molto meglio di una CA radice.
Tendo a pensare che sia una buona tendenza. Qualsiasi applicazione che ha una password dovrebbe davvero utilizzare una qualche forma di crittografia; anche se è accessibile solo internamente, non voglio soprattutto che le mie password volino in chiaro su * qualsiasi * rete.
Ho lavorato per un'azienda che utilizzava l'accesso ad Active Directory per il proxy. Il proxy utilizzava l'autenticazione di base. Non mi sono mai preoccupato di attivare la modalità promiscua sulla mia scheda NIC e di annusare la password di tutti. Ma ho prontamente utilizzato "Password1" per la mia password lì.
@IanRingrose ... o semplicemente non lasciare che il server dei nomi pubblico risolva il nome.
Questa operazione viene solitamente eseguita in un ambiente aziendale per abilitare il monitoraggio del traffico https. È probabile che il server dei certificati di rete fornisca i propri certificati SSL per i siti https esterni. Ciò consente di decrittografare e monitorare tutti i contenuti * protetti *. Se stai utilizzando una rete aziendale e ritieni che il tuo traffico https sia privato, ripensaci.
Tecnicamente HTTPS non dovrebbe essere necessario in una rete interna, perché dovrebbe essere del tutto possibile applicare IPSec su ogni - ogni - connessione. In pratica, è un po 'più difficile perché IPSec è un sacco di problemi da configurare correttamente e pochissime persone sanno come farlo (o hanno persino provato).
@ZachLipton: No, se sei un'azienda più grande che ha diverse centinaia di server web interni, poche dozzine di team per gestirli e non vuoi che il team che gestisce i server di dati di ingegneria sia in grado di impersonare la contabilità, o viceversa. E non appena si desidera utilizzare i certificati client, tutto tranne il rollio della propria CA diventa comunque impraticabile, per motivi finanziari * e di * gestione * e * sicurezza.
Romain Clair
2015-12-01 15:52:33 UTC
view on stackexchange narkive permalink

I certificati sono una questione di fiducia.

La CA dovrebbe essere affidabile a livello globale, quindi possiamo fare affidamento su di loro anche se non ci conosciamo.

Nei casi in cui stai comunicando solo con persone che conosci o .... te stesso, come quando sei responsabile di una rete di macchine diverse, puoi scegliere di affidarti a te stesso più che affidarti a una CA che in effetti non conosci .

Un esempio potrebbe essere quando desideri creare tunnel tramite openVPN tra i computer che gestisci.

Zach Lipton
2015-12-02 02:32:55 UTC
view on stackexchange narkive permalink

Ti "spii" intenzionalmente a scopo di debug, utilizzando strumenti proxy come Fiddler o Charles per acquisire il traffico https.

Questi strumenti vengono spesso utilizzati dagli sviluppatori di app mobili, tra gli altri, per eseguire il debug delle comunicazioni client-server. Una CA radice può essere generata e installata su un dispositivo mobile, un computer impostato come proxy http di quel dispositivo e tutto il traffico web, inclusi i dettagli di intestazioni, cookie, ecc ... verrà visualizzato per lo sviluppatore.

Ciò è utile per comprendere le prestazioni delle richieste di rete, decidere se incolpare il client o il server per un bug o per eseguire il reverse engineering delle API esistenti.

Stephane
2015-12-01 19:23:54 UTC
view on stackexchange narkive permalink

Un'altra risposta (aggiuntiva) è che la CA privata ha un dominio di sicurezza diverso dalle CA pubbliche.

Una CA pubblica certificherà le informazioni pubbliche: il fatto che il proprietario della corrispondenza della chiave privata abbia un particolare diritto pubblico al momento della richiesta. non si preoccupano davvero della segregazione interna e sicuramente non proteggeranno le risorse interne (ad esempio, l'esempio fornito da @Philipp sui nomi host non appartenenti al DNS pubblico).

Una CA privata riguarda solo proteggere le tue risorse interne: è progettato per avere un dominio di applicazione più limitato: funzionerà solo nel contesto della tua rete. Pertanto, può essere utilizzato per proteggere la comunicazione interna e fornire autenticazioni interne che hanno poco o nessun significato al di fuori della rete.

Inoltre, sono un po 'più sicure da usare: puoi delegare l'accesso più facilmente con loro. Ad esempio, l'amministratore di una filiale locale potrebbe avere il diritto necessario di rilasciare certificati per sistemi e persone sotto il suo controllo senza dovergli delegare l'intera identità aziendale.

Wolfgang
2015-12-02 02:15:34 UTC
view on stackexchange narkive permalink

Un altro motivo per cui un'organizzazione potrebbe voler installare un certificato radice è il filtro dei contenuti. La mia scuola superiore aveva un filtro dei contenuti appena prima del firewall, che aveva lo scopo di impedire agli studenti di accedere a vari tipi di contenuti. Tuttavia, non ha fatto un ottimo lavoro nel filtrare le connessioni HTTPS - a volte si bloccava in base all'indirizzo IP, ma tendeva ad essere molto pesante su alcuni siti (bloccando l'intero indirizzo IP) e non filtrava affatto su altri (dando accesso completo e non filtrato). Ad esempio, gli studenti hanno rapidamente capito che potevano accedere a Facebook se digitavano https: // facebook.com . (Penso che il filtro dei contenuti fosse abbastanza vecchio da non supportare nemmeno l'indicazione del nome del server.)

Poco prima della laurea hanno installato un nuovo filtro dei contenuti che forniva un filtraggio completo sul traffico HTTPS. Hanno installato una CA radice su tutti i computer e il firewall creerebbe certificati al volo per i siti Web HTTPS. Ciò consentiva il blocco basato su URL (piuttosto che il blocco basato sul nome host molto più grossolano che avrebbero dovuto utilizzare se non avessero falsificato i certificati), quindi ad esempio ora potevano consentire agli studenti di guardare i video di YouTube mentre ne bloccavano altri.

È interessante notare che il firewall aveva un'opzione per intercettare il traffico verso i siti bancari, insieme a un grande avvertimento per lasciare l'opzione disabilitata per sicurezza. (Presumibilmente aveva una whitelist di domini finanziari.)

user1751825
2015-12-03 06:51:19 UTC
view on stackexchange narkive permalink

Se gestissi una rete aziendale e volessi tenere d'occhio ciò che i miei dipendenti stavano facendo, creerei un server dei certificati e configurerei tutti i computer client in modo che considerino attendibili solo i certificati di questo server. Vorrei quindi che questo server emettesse i propri certificati per tutti i siti che i miei dipendenti potrebbero dover utilizzare.I miei dipendenti utilizzerebbero quindi felicemente il loro Gmail, Facebook, ecc. Anche se beatamente inconsapevoli che il certificato che il loro browser sta usando felicemente non è rilasciato da una CA esterna , ma dal mio server CA di rete interno. Il loro traffico di rete completo non crittografato può quindi essere registrato e monitorato dal server proxy di rete.

Più uno per la risposta che non ci piace. Questo è come uno schema scuro per la sicurezza della rete.
user2867314
2015-12-02 23:43:59 UTC
view on stackexchange narkive permalink

Ho un'opinione su questo (ed è solo un'opinione).

"L'unico motivo per cui riesco a pensare è costringere i computer della rete a fidarsi dei tuoi certificati autofirmati invece di ottenerli firmato digitalmente da una CA di terze parti. "

Se aggiungi solo una CA radice, è improbabile che venga visualizzato un certificato autofirmato nel senso tradizionale, è un certificato firmato da una CA interna (sebbene quel certificato CA sarà autofirmato). A meno che non sbatti lo stesso certificato su ogni scatola, il che sarebbe un'idea molto stupida. Devi solo firmare il certificato corretto con esso e quindi bloccare di nuovo quella CA senza mai darle accesso alla rete e richieste di firma di sneakernet quando necessario.

Inoltre, è preferito (da me) a un certificato jolly come compromesso un host può portare all'intercettazione solo a quell'host (cosa che probabilmente farebbe comunque) piuttosto che a tutto in quel dominio.

Infine una CA di terze parti è per me una linea di fiducia non necessaria su una rete interna . Puoi controllare le tue politiche interne ma non le loro - ovviamente se sono corrotte / compromesse possono ancora fregarti a meno che tu non ti fidi SOLO della tua CA.Quindi ho sentimenti contrastanti su questo punto.

Se proteggi quel certificato CA a sufficienza, non è meno sicuro di una terza parte e, a mio avviso, più sicuro di un certificato jolly.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...