Есть ли причина безопасности не использовать подстановочный сертификат, кроме управляемости и эксплуатации, если он используется на нескольких серверах?

У меня есть консультант по безопасности, который говорит мне, что мы не можем использовать SSL-сертификаты с подстановочными знаками по соображениям безопасности. Чтобы было ясно, я предпочитаю использовать одиночные или многодоменные сертификаты (SAN). Однако нам нужен сервер (plesk) для сервера сотен поддоменов.

Основываясь на моих исследованиях, главная причина, по которой люди не используют подстановочные знаки, заключается в следующем: verisign:

• Безопасность: если один сервер или поддомен скомпрометирован, все поддомены могут быть скомпрометированы.
• Управление. Если необходимо отозвать подстановочный сертификат, всем поддоменам потребуется новый сертификат.
• Совместимость: подстановочные сертификаты могут не работать без проблем со
  старыми конфигурациями сервер-клиент.
• Защита: SSL-сертификаты VeriSign Wildcard не защищены расширенной гарантией NetSure.

Поскольку закрытый ключ, сертификат и поддомен будут существовать на одном сервере ... замена будет такой же простой, как замена одного сертификата, и будет влиять на такое же количество пользователей. Следовательно, есть ли другая причина не использовать подстановочный знак?

Единственное, что мне известно, - это то, что сертификаты расширенной проверки нельзя выдавать с подстановочными знаками , так что это не вариант, если вы собираетесь получить сертификат EV.

С точки зрения безопасности вы попали в точку - один закрытый ключ защищает все домены, которые находятся под групповым символом. Так, например, если у вас был многодоменный сертификат SAN, который покрывал www.example.comи something.example.comподвергался риску, только эти два домена подвергаются риску атаки с помощью скомпрометированного ключа.

Однако, если та же система была вместо запуска *.example.comсертификата для SSL трафика ручки для wwwи somethingсубдоменов и были скомпрометированы, то все покрыто что подстановочные потенциально подвержены риску, даже услуги не размещалось непосредственно на этом сервере - скажем, webmail.example.com.

Безопасность: если один сервер или поддомен скомпрометирован, все поддомены могут быть скомпрометированы.

Если вы используете один веб-сервер для своих сотен виртуальных хостов, тогда все закрытые ключи должны быть доступны для чтения этим процессом веб-сервера. Если человек может скомпрометировать систему до такой степени, что он может прочитать один ключ / сертификат, то он, вероятно, уже скомпрометировал систему до такой степени, что он может получить все закрытые ключи / сертификаты, используемые этим веб-сервером.

Ключи, как правило, хранятся в файловой системе с привилегиями, которые разрешают только root доступ к ним. Так что если ваша система рутирована, то вы, вероятно, потеряли все. Не имеет значения, есть ли у вас один сертификат или много.

Управление. Если необходимо отозвать подстановочный сертификат, всем поддоменам потребуется новый сертификат.

Если вы используете подстановочный знак для * .example.org, вам нужно заменить только один сертификат. Если у вас есть сертификат для one.example.org, two.example.org и three.example.org, вам необходимо заменить 3 сертификата. Так что подстановочный сертификат - это меньше работы. Так что да, этот сертификат будет отозван и заменен, но поскольку вам нужно заменить только один вместо сотен, это должно быть очень просто.

Совместимость: подстановочные сертификаты могут не работать без проблем со старыми конфигурациями сервер-клиент.

Эти системы почти наверняка нуждаются в обновлении. У них почти наверняка есть много других уязвимостей.