我运营一个科学网站,称为 site.org,它在三个位置都有镜像,所有镜像都在 DNS 中列为 site.org,以便客户端可以随机选择特定镜像。各个镜像为 server1.site.org 等。LetsEncrypt 证书涵盖 site.org 以及镜像名称。所有镜像都在捐赠带宽的大学内;我自己没有资金支付带宽费用。
一所大学 univ.edu 最近决定,为了“安全控制 https 通信”(他们的话),其网络内的所有站点都应使用 *.univ.edu 通配符证书。他们的实施方法是,在防火墙处,当他们看到端口 443 连接时,他们会拦截 SSL 握手并替换自己的证书。我的服务器从未看到证书握手。客户端浏览器看到 *.univ.edu 证书并拒绝它,因为它不涵盖 site.org。我要求将我的服务器的 IP 列入白名单以进行直通,他们说这样做“不可能”。
在我看来,用他们的证书替换我的证书就像是中间人攻击。公平地说,我不知道他们是否真的坐在那里监控流量,但我没有看到任何可以阻止他们这样做的东西。我不在乎出于个人目的的监控(网站上的所有内容都是公开的),但在我看来,这似乎是一个坏主意,尽管这让他们更容易管理 univ.edu 内部网站的证书。
那么:大型组织使用 AITM 方法管理证书是否正常?这真的只是因为他们想监视所有(传入,但不包括传出)连接吗?有没有我还没有想到的为什么这是一个坏主意的原因?
从根本上说,我正在寻找强有力的论据来说服他们改变立场。如果他们不让步,我担心我将不得不关闭镜像,这对我的用户来说会很遗憾,因为该镜像到其所在大陆的带宽要好得多。(不过,如果有其他建议,我将不胜感激!)
组织(大学、公司等)希望控制其网络内的流量,这非常正常。这包括检查和过滤流量以确保安全性和合规性,也许出于隐私方面的考虑会有一些例外。毕竟这是他们的网络,他们要对此负责。
第三方托管的镜像站点并非都是通用域名的子域,而是具有反映其所属组织的域,这种情况也很常见。我不知道是什么让你无法遵循这种方法。
我不确定这是否意味着所有这些网站都使用相同的证书,包括相同的私钥。在这种情况下,私钥不仅分布在多个服务器上,而且这些服务器(或至少托管服务器的基础设施)也由不同的组织管理。这增加了泄露私钥的风险。最好使用单独的证书。