[請益] wildcard憑證外流有甚麼影響

作者school4303 (某爬蟲類)

看板MIS

標題[請益] wildcard憑證外流有甚麼影響

時間Thu Jul 15 22:20:11 2021

版上各位大大好，小弟一名菜雞真。打工仔目前打工的單位有*.bb.cc.com的憑證其他單位有各自架設a.bb.cc.com、b.bb.cc.com的網站近期遇到上頭指示說要全面轉成HTTPS 最簡單的情況下是其他單位過來拿一份*.bb.cc.com的憑證就好但是小弟我不確定wildcard憑證給其他人會不會有甚麼問題還是我應該要求其他單位的人自己處裡憑證? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.104.86 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1626358813.A.D36.html

→ eric00169: 讓持有者或管這些得自己來用 07/15 22:51

→ blackhippo: 單純給憑證沒給私鑰是沒啥差.... 07/16 01:50

→ blackhippo: 不過你要確認那些服務吃不吃wildcard憑證 07/16 01:52

→ school4303: 嗯...要在各網站server軟體內啟用https就要private ke 07/16 02:34

→ school4303: y吧？ 07/16 02:34

→ blackhippo: 大家都用同張憑證又要私鑰的話..一個笨蛋把私鑰外流大 07/16 02:42

→ blackhippo: 家就是一起換憑證 07/16 02:42

推 michaellai: 出口放個ssl off load專人管理 07/16 07:38

→ pepsilee: 2F不要不懂裝懂，最好可以只給憑證就能啟動HTTPS/TLS啦 07/16 08:28

→ pepsilee: 申請wildcard憑證不就是為了共用嗎 07/16 08:34

→ pepsilee: 如果外流對方還要能動你的DNS，真的怕就讓他們簽個切結 07/16 08:35

→ blackhippo: 所以你有看到我有說那樣可以啟動HTTPS/TLS嗎= =? 07/16 13:19

噓 freeunixer: 你 dns 是沒在管的嗎? 07/16 13:55

→ school4303: 當然有啊只是不知道除了dns以外還有哪些地方會有問題 07/16 14:20

推 johnten: 如果是bb.cc.com的萬用憑證其實也不需要太擔心除非你連 07/16 14:25

→ johnten: dns的帳號密碼都給人 07/16 14:25

→ asdrt: 用waf一併管理就好(? 07/16 15:31

→ pepsilee: 請問2F，那你給憑證不給私鑰是要做甚麼？拿去拜嗎？ 07/16 22:38

推 leicheong: 在對外接口架reverse proxy把e-cert放那就好. 07/18 16:31

→ leicheong: 憑證外流的影響要看憑證類別. 如果只是確認伺服器身份 07/18 16:32

→ leicheong: 的話一般就可能用戶被MITM攻擊讓傳送的東西可能被第三 07/18 16:34

→ leicheong: 方看到. 如果有支援code signing就比較大問題, 因為 07/18 16:35

→ leicheong: 拿到憑證的人可以在任意軟體用憑證簽署聲稱是由你的 07/18 16:36

→ leicheong: 公司發佈的. 07/18 16:37

→ freeunixer: 樓上好久不見~ 07/18 18:34