我有一组内部使用的域名,我不希望它们泄露到外部世界(因为这会给攻击者提供内部网络布局的高级知识)。鉴于证书透明度似乎正在获得动力,关于拥有私有域名的最佳方式的普遍共识是什么?自签名证书?外卡证书?还有什么?
AskOverflow.Dev
我有一组内部使用的域名,我不希望它们泄露到外部世界(因为这会给攻击者提供内部网络布局的高级知识)。鉴于证书透明度似乎正在获得动力,关于拥有私有域名的最佳方式的普遍共识是什么?自签名证书?外卡证书?还有什么?
仅供内部使用,您可以设置私有 CA,在内部系统上安装其证书,并自行颁发内部证书。
如果您的内部使用服务器以某种方式在外部使用,除非外部客户端为您的证书添加例外,否则它们将无法工作。这不会阻止外部攻击者发现内部域并对其进行攻击。在这种情况下,请使用通配符证书。使用自签名或内部 CA 证书会惹恼外部用户,并且无法保护您免受攻击(如大多数 DRM 模式)。
如果泄漏主机名是您的威胁模型的一部分,那么 CT 可能不是此类泄漏的唯一来源。想想电子邮件标头、日志、监控、编译器……许多工具最终可能会将系统名称(无论是主机名还是证书的一部分)溢出到可公开访问的空间中。相反,研究希望他们保密的根本原因。
如果它们没有什么秘密,你就不必隐藏它们。如果他们确实透露了一些信息,那通常是因为您使用这些名称来
对于所有 3 个问题,都有更好的解决方案。1. 的主要问题是系统名称通常在经过多次更改后最终与系统角色不匹配。2. 的主要问题是您的同事无论如何都不应该手动输入 URL - 想想拼写错误的域类型诈骗。代号解决3。
建议:使用一致但随机的方案命名您的内部服务器。通过完全不同的方式传达系统<>角色关系。你通常会用他们的名字而不是他们的角色来称呼你的同事——对你的内部服务器也这样做。
我们的内部 wiki 托管在
lake.example.org. Lake 没有任何意义,它与cube.example.org(日志集合)完全不同。但邪恶的攻击者只知道有 8 个内部域,这对于组织的规模来说并不奇怪。如果他想知道更多,他将不得不来拜访我们并阅读名称标签。除非我遗漏了什么,否则这似乎是一个非常简单的决定。
如果您认为将通过证书透明度公开的数据的隐私性比由公共信任的 CA 签署证书的便利性更有价值,您可以:
或者