Cha*_*ens 3 domain-name ssl-certificate
我有一组在内部使用的域名,我不希望它们泄漏到外部世界(因为这会让攻击者更深入地了解内部网络的布局)。鉴于证书透明度似乎正在获得动力,关于拥有私有域名的最佳方式的普遍共识是什么?自签名证书?外卡证书?还有什么?
Tho*_*mBR 12
我有一组内部使用的域名
对于仅供内部使用,您可以设置私有 CA,在内部系统上安装其证书,并自己颁发内部证书。
如果您的内部使用服务器以某种方式在外部使用,除非外部客户端为您的证书添加例外,否则它们将无法工作。这不会阻止外部攻击者发现内部域并对其进行攻击。在这种情况下,请使用通配符证书。使用自签名或内部 CA 证书会惹恼外部用户,并且无法保护您免受攻击者的侵害(就像大多数 DRM 架构一样)。
如果泄漏主机名是您的威胁模型的一部分,那么 CT 可能不是此类泄漏的唯一来源。想想电子邮件标题、日志、监控、编译器……许多工具最终可能会将系统名称(无论是主机名还是证书的一部分)泄漏到可公开访问的空间中。相反,要研究希望他们保密的根本原因。
如果它们没有任何秘密,您就不必隐藏它们。如果他们确实透露了一些信息,那通常是因为您使用这些名称来
对于所有 3 个问题,都有更好的解决方案。1. 的主要问题是系统名称在多次更改后通常最终与系统角色不匹配。2. 的主要问题是你的同事无论如何都不应该手动输入 URL - 想想拼写错误的域类型的骗局。代号解决3。
建议:使用一致但随机的方案命名您的内部服务器。通过完全不同的方式传达系统<>角色关系。你通常会用他们的名字而不是他们的角色来称呼你的同事——对你的内部服务器也是如此。
我们的内部 wiki 托管在lake.example.org. Lake 没有任何意义,它只是与cube.example.org(日志收集)完全不同。但是邪恶的攻击者只知道有8个内部域,这对于组织的规模来说并不奇怪。如果他想知道更多,他将不得不来拜访我们并阅读姓名标签。
| 归档时间: |
|
| 查看次数: |
522 次 |
| 最近记录: |