У меня есть набор доменных имен, которые используются внутри, и я не хочу, чтобы они просачивались во внешний мир (так как это дало бы злоумышленнику расширенные знания о структуре внутренней сети). Дано Сертификат прозрачности кажется, что это набирает обороты, каково общее мнение о том, как лучше всего иметь частные доменные имена? Самоподписанные сертификаты? Сертификаты Wild Card? Что-то другое?
У меня есть набор доменных имен, которые используются внутри компании
Только для внутреннего использования вы можете установить частный ЦС, установить его сертификат во внутренних системах и самостоятельно выпустить внутренние сертификаты.
Если ваш внутреннее использование серверы каким-то образом используются извне, они не будут работать, если внешние клиенты не добавят исключение для вашего сертификата. Это не помешает внешним злоумышленникам обнаружить внутренние домены и атаковать их. В этом случае используйте подстановочный сертификат. Использование самозаверяющего или внутреннего сертификата CA будет раздражать внешних пользователей и не защитит вас от злоумышленников (как и большинство схем DRM).
Если утечка имен хостов является частью вашей модели угроз, то CT, вероятно, не единственный источник такой утечки. Подумайте о заголовках электронной почты, журналах, мониторинге, компиляторах ... множество инструментов могут в конечном итоге переместить системные имена (будь то имена хостов или просто часть сертификатов) в общедоступные места. Лучше поработайте над основными причинами, по которым вы хотите, чтобы они оставались конфиденциальными.
Вам не придется их прятать, если в них нет ничего секретного. Если они раскрывают некоторую информацию, обычно это происходит потому, что вы используете имена, чтобы
Для всех трех проблем есть лучшие решения. Основная проблема 1. состоит в том, что системные имена обычно не соответствуют системным ролям после ряда изменений. Основная проблема с 2. заключается в том, что вашим коллегам никогда не следует вводить URL-адреса вручную - подумайте о мошенничестве с неправильным написанием домена. Кодовые имена решают 3.
Рекомендация: назовите внутренние серверы последовательной, но в остальном случайной схемой. Передайте отношения система <> роли совершенно разными способами. Обычно вы обращаетесь к своим коллегам по их именам, а не по ролям - сделайте то же самое для своих внутренних серверов.
Наша внутренняя вики размещена на lake.example.org
. Озеро ничего не значит, просто оно достаточно отличается от cube.example.org
(сборник журналов). Но злоумышленник знает только о 8 внутренних доменах, что неудивительно для размера организации. Если он хочет узнать больше, ему придется приехать к нам и прочитать бирки с именами.
Это кажется довольно простым решением, если я чего-то не упускаю.
Если вы решите, что конфиденциальность данных, которые будут раскрыты через прозрачность сертификата, более ценна, чем удобство подписания сертификатов общедоступным доверенным центром сертификации, вы либо:
или