作者school4303 (某爬虫类)
看板MIS
标题[请益] wildcard凭证外流有甚麽影响
时间Thu Jul 15 22:20:11 2021
版上各位大大好,小弟一名菜鸡真。打工仔
目前打工的单位有*.bb.cc.com的凭证
其他单位有各自架设a.bb.cc.com、b.bb.cc.com的网站
近期遇到上头指示说要全面转成HTTPS
最简单的情况下是其他单位过来拿一份*.bb.cc.com的凭证就好
但是小弟我不确定wildcard凭证给其他人会不会有甚麽问题
还是我应该要求其他单位的人自己处里凭证?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.177.104.86 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1626358813.A.D36.html
1F:→ eric00169: 让持有者或管这些得自己来用 07/15 22:51
2F:→ blackhippo: 单纯给凭证没给私钥是没啥差.... 07/16 01:50
3F:→ blackhippo: 不过你要确认那些服务吃不吃wildcard凭证 07/16 01:52
4F:→ school4303: 嗯...要在各网站server软体内启用https就要private ke 07/16 02:34
5F:→ school4303: y吧? 07/16 02:34
6F:→ blackhippo: 大家都用同张凭证又要私钥的话..一个笨蛋把私钥外流大 07/16 02:42
7F:→ blackhippo: 家就是一起换凭证 07/16 02:42
8F:推 michaellai: 出口放个ssl off load专人管理 07/16 07:38
9F:→ pepsilee: 2F不要不懂装懂,最好可以只给凭证就能启动HTTPS/TLS啦 07/16 08:28
10F:→ pepsilee: 申请wildcard凭证不就是为了共用吗 07/16 08:34
11F:→ pepsilee: 如果外流对方还要能动你的DNS,真的怕就让他们签个切结 07/16 08:35
12F:→ blackhippo: 所以你有看到我有说那样可以启动HTTPS/TLS吗= =? 07/16 13:19
13F:嘘 freeunixer: 你 dns 是没在管的吗? 07/16 13:55
14F:→ school4303: 当然有啊 只是不知道除了dns以外还有哪些地方会有问题 07/16 14:20
15F:推 johnten: 如果是bb.cc.com的万用凭证 其实也不需要太担心 除非你连 07/16 14:25
16F:→ johnten: dns的帐号密码都给人 07/16 14:25
17F:→ asdrt: 用waf一并管理就好(? 07/16 15:31
18F:→ pepsilee: 请问2F,那你给凭证不给私钥是要做甚麽?拿去拜吗? 07/16 22:38
19F:推 leicheong: 在对外接口架reverse proxy把e-cert放那就好. 07/18 16:31
20F:→ leicheong: 凭证外流的影响要看凭证类别. 如果只是确认伺服器身份 07/18 16:32
21F:→ leicheong: 的话一般就可能用户被MITM攻击让传送的东西可能被第三 07/18 16:34
22F:→ leicheong: 方看到. 如果有支援code signing就比较大问题, 因为 07/18 16:35
23F:→ leicheong: 拿到凭证的人可以在任意软体用凭证签署声称是由你的 07/18 16:36
24F:→ leicheong: 公司发布的. 07/18 16:37
25F:→ freeunixer: 楼上好久不见~ 07/18 18:34