作者school4303 (某爬蟲類)
看板MIS
標題[請益] wildcard憑證外流有甚麼影響
時間Thu Jul 15 22:20:11 2021
版上各位大大好,小弟一名菜雞真。打工仔
目前打工的單位有*.bb.cc.com的憑證
其他單位有各自架設a.bb.cc.com、b.bb.cc.com的網站
近期遇到上頭指示說要全面轉成HTTPS
最簡單的情況下是其他單位過來拿一份*.bb.cc.com的憑證就好
但是小弟我不確定wildcard憑證給其他人會不會有甚麼問題
還是我應該要求其他單位的人自己處裡憑證?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.104.86 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1626358813.A.D36.html
1F:→ eric00169: 讓持有者或管這些得自己來用 07/15 22:51
2F:→ blackhippo: 單純給憑證沒給私鑰是沒啥差.... 07/16 01:50
3F:→ blackhippo: 不過你要確認那些服務吃不吃wildcard憑證 07/16 01:52
4F:→ school4303: 嗯...要在各網站server軟體內啟用https就要private ke 07/16 02:34
5F:→ school4303: y吧? 07/16 02:34
6F:→ blackhippo: 大家都用同張憑證又要私鑰的話..一個笨蛋把私鑰外流大 07/16 02:42
7F:→ blackhippo: 家就是一起換憑證 07/16 02:42
8F:推 michaellai: 出口放個ssl off load專人管理 07/16 07:38
9F:→ pepsilee: 2F不要不懂裝懂,最好可以只給憑證就能啟動HTTPS/TLS啦 07/16 08:28
10F:→ pepsilee: 申請wildcard憑證不就是為了共用嗎 07/16 08:34
11F:→ pepsilee: 如果外流對方還要能動你的DNS,真的怕就讓他們簽個切結 07/16 08:35
12F:→ blackhippo: 所以你有看到我有說那樣可以啟動HTTPS/TLS嗎= =? 07/16 13:19
13F:噓 freeunixer: 你 dns 是沒在管的嗎? 07/16 13:55
14F:→ school4303: 當然有啊 只是不知道除了dns以外還有哪些地方會有問題 07/16 14:20
15F:推 johnten: 如果是bb.cc.com的萬用憑證 其實也不需要太擔心 除非你連 07/16 14:25
16F:→ johnten: dns的帳號密碼都給人 07/16 14:25
17F:→ asdrt: 用waf一併管理就好(? 07/16 15:31
18F:→ pepsilee: 請問2F,那你給憑證不給私鑰是要做甚麼?拿去拜嗎? 07/16 22:38
19F:推 leicheong: 在對外接口架reverse proxy把e-cert放那就好. 07/18 16:31
20F:→ leicheong: 憑證外流的影響要看憑證類別. 如果只是確認伺服器身份 07/18 16:32
21F:→ leicheong: 的話一般就可能用戶被MITM攻擊讓傳送的東西可能被第三 07/18 16:34
22F:→ leicheong: 方看到. 如果有支援code signing就比較大問題, 因為 07/18 16:35
23F:→ leicheong: 拿到憑證的人可以在任意軟體用憑證簽署聲稱是由你的 07/18 16:36
24F:→ leicheong: 公司發佈的. 07/18 16:37
25F:→ freeunixer: 樓上好久不見~ 07/18 18:34