tag:blogger.com,1999:blog-3447320322247462829.post2102065373473174222..comments2022-05-27T10:03:36.283+03:00Comments on Alexander Trofimov: Недостатки wildcard-сертификатовAlexander Trofimovhttp://www.blogger.com/profile/18188854568993053938noreply@blogger.comBlogger11125tag:blogger.com,1999:blog-3447320322247462829.post-80217055466535694272013-01-04T17:10:03.133+04:002013-01-04T17:10:03.133+04:00Согласен.Согласен.Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-36797013397854317262013-01-04T14:47:25.916+04:002013-01-04T14:47:25.916+04:00есть еще одна большая опасность при использовании ...есть еще одна большая опасность при использовании вилдкард сертификата:<br />- возможность создания "невидимого" (для владельца сертификата) сайта с использованием сертификатавиктор золочевскийhttp://b2bssl.comnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-10545163887132103892011-03-24T20:16:48.818+03:002011-03-24T20:16:48.818+03:00Согласен. Хотя про тараканов тоже было сказано все...Согласен. Хотя про тараканов тоже было сказано все верно. Тараканы иногда перевешивают.Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-45370244820411697172011-03-24T20:11:00.596+03:002011-03-24T20:11:00.596+03:00С одной стороны верно, но с другой..учитывая стоим...С одной стороны верно, но с другой..учитывая стоимость такого сертификата можно раскошелиться на net hsm и тогда вопрос компрометации можно отложить до лучших времён. Хотя, с hsm свои тараканы есть. Но как вопрос укрепления защиты закрытого ключа — почему бы и нет?Vadims Podānshttp://www.sysadmins.lvnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-33375226688477828182011-03-09T11:32:48.330+03:002011-03-09T11:32:48.330+03:00А это как-то повышает безопасость? Или я что-то не...А это как-то повышает безопасость? Или я что-то не понял?Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-66712793528083183282011-03-09T09:12:34.554+03:002011-03-09T09:12:34.554+03:00Про вытаскивание сертификатов - можно включить аге...Про вытаскивание сертификатов - можно включить агента(ов) восстановления. Точнее, в ряде случаев, это необходимо сделать :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-91904313318814443452011-03-09T07:41:35.469+03:002011-03-09T07:41:35.469+03:00Видно, я тебя не убедил. Бывает. =)Видно, я тебя не убедил. Бывает. =)Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-11124732312596440312011-03-09T03:56:11.966+03:002011-03-09T03:56:11.966+03:00ИМХО, все немного притянуто по рискам использовать...ИМХО, все немного притянуто по рискам использовать Wildcard<br /><br />Единственный рикс это оставлять везде ключ, но насчет его хранения тоже не актуальная тема, а пароли все где вы храните? в файле на сервере? или используйте соответствующие системы для этого...<br /><br />Касательно публикаций, забыл добавить что также в основном используются и аппаратные балансировшики в них то и хранятся заветные ключики, тогда можно говорить и о их уязвимостях...<br /><br />А вот действительный минус Wildcard так это то что его не везде можно использовать, точнее есть системы которые не поддерживают wildcard к примеру OCS R2…<br /><br />мой вердикт риски от wildcard на столько малы что не стоит зацикливаться на этом, и в тоже время вся безопасность должна быть как и положена на уровне, а там где халатность там и взломы и проколы...Arman Obosyanhttp://postmaster.ge/blognoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-9431162175285817032011-03-08T17:12:13.284+03:002011-03-08T17:12:13.284+03:00привет.
1) Если бы не было возможности вытащить с...привет. <br />1) Если бы не было возможности вытащить сертификат, то не появились бы никогда смарт-карты и прочие токены =) По сути, exportable, не exportable, а ключ просто лежит на файловой системе. Да, защищенный, зашифрованный, но все-таки. Разумеется, это не будет делаться как "раз-два-три", но это возможно. По поводу "если злоумышленник проник..." и далее по тексту. Все так, всегда сам это говорил. Только одно дело, "проник в одну систему" или "проник везде". Масштаб проблемы тоже имеет значение, как мне кажется. Опять-таки, раз ты ставишь везде один и тот же ключ, значит, ты его где-то хранишь вместе с секретной частью. Его и оттуда можно вынести. С уникальными ключами проблем меньше - установил и удалил. Или вообще выписал прямо с сервера, тогда и вовсе секретный ключ существовал только на сервере, по сути.<br />2) Да, это лучше, чем использование везде wildcard-сертификата, но: <br />а) ты уже говоришь, что то, что внутри используются другие сертификаты, улучшает ситуацию. почему бы не улучшить ее совсем и не использовать их на reverse proxy? =)<br />б) Даже банальные реверс прокси для этого не всегда и не везде применяются. <br />Но в целом, я и не говорил, что wildcard certificates определенно зло. Просто нужно понимать, что все имеет свою обратную сторону. Тебе стало удобнее? Посмотри, где может жать в будущем.Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-1964685143574552172011-03-08T09:58:07.356+03:002011-03-08T09:58:07.356+03:00Да и забыл добавить,
обычно при публикации сервисо...Да и забыл добавить,<br />обычно при публикации сервисов, выводятся они через Application Firewall ака обратные прокси (Reverse Proxy) паблишер он как правило один или два, там-то только и присутствует тот самый секретный ключ, на всех внутренних серверах уже обычные внутренние сертификаты, как правило такой метод правильней других.Arman Obosyanhttp://postmaster.ge/blognoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-16324570020245150772011-03-08T09:52:56.976+03:002011-03-08T09:52:56.976+03:00...то его секретный ключ лежит везде, где использу......то его секретный ключ лежит везде, где используется сертификат... <br /><br />Если при импорте указывать чтоб он был нонэкспортебл, то разве есть возможность выдрать его из системы?<br /><br />В любом случаи если уже злоумышленник проник в систему до того уровня что есть возможность ковыряется с ключами, то тут уже безопасность совсем другого уровня уж как сильно хромает и тут ссылается на сертификаты уже нет смысла.Arman Obosyanhttp://postmaster.ge/blognoreply@blogger.com