Назад | Перейти на главную страницу

Как обрабатывать домены, имена которых не должны публиковаться в соответствии с прозрачностью сертификатов?

У меня есть набор доменных имен, которые используются внутри, и я не хочу, чтобы они просачивались во внешний мир (так как это дало бы злоумышленнику расширенные знания о структуре внутренней сети). Дано Сертификат прозрачности кажется, что это набирает обороты, каково общее мнение о том, как лучше всего иметь частные доменные имена? Самоподписанные сертификаты? Сертификаты Wild Card? Что-то другое?

У меня есть набор доменных имен, которые используются внутри компании

Только для внутреннего использования вы можете установить частный ЦС, установить его сертификат во внутренних системах и самостоятельно выпустить внутренние сертификаты.

Если ваш внутреннее использование серверы каким-то образом используются извне, они не будут работать, если внешние клиенты не добавят исключение для вашего сертификата. Это не помешает внешним злоумышленникам обнаружить внутренние домены и атаковать их. В этом случае используйте подстановочный сертификат. Использование самозаверяющего или внутреннего сертификата CA будет раздражать внешних пользователей и не защитит вас от злоумышленников (как и большинство схем DRM).

Если утечка имен хостов является частью вашей модели угроз, то CT, вероятно, не единственный источник такой утечки. Подумайте о заголовках электронной почты, журналах, мониторинге, компиляторах ... множество инструментов могут в конечном итоге переместить системные имена (будь то имена хостов или просто часть сертификатов) в общедоступные места. Лучше поработайте над основными причинами, по которым вы хотите, чтобы они оставались конфиденциальными.

Вам не придется их прятать, если в них нет ничего секретного. Если они раскрывают некоторую информацию, обычно это происходит потому, что вы используете имена, чтобы

  1. помочь администраторам ориентироваться в вашей собственной сети или
  2. помочь коллегам запомнить, какой URL ввести.
  3. внутреннее испытание системы перед коммерческой эксплуатацией

Для всех трех проблем есть лучшие решения. Основная проблема 1. состоит в том, что системные имена обычно не соответствуют системным ролям после ряда изменений. Основная проблема с 2. заключается в том, что вашим коллегам никогда не следует вводить URL-адреса вручную - подумайте о мошенничестве с неправильным написанием домена. Кодовые имена решают 3.

Рекомендация: назовите внутренние серверы последовательной, но в остальном случайной схемой. Передайте отношения система <> роли совершенно разными способами. Обычно вы обращаетесь к своим коллегам по их именам, а не по ролям - сделайте то же самое для своих внутренних серверов.

Наша внутренняя вики размещена на lake.example.org. Озеро ничего не значит, просто оно достаточно отличается от cube.example.org (сборник журналов). Но злоумышленник знает только о 8 внутренних доменах, что неудивительно для размера организации. Если он хочет узнать больше, ему придется приехать к нам и прочитать бирки с именами.

Это кажется довольно простым решением, если я чего-то не упускаю.

Если вы решите, что конфиденциальность данных, которые будут раскрыты через прозрачность сертификата, более ценна, чем удобство подписания сертификатов общедоступным доверенным центром сертификации, вы либо:

  • Не используйте сертификаты (неразумно и невыполнимо с современным ПО)

или

  • Запустите собственный центр сертификации и избавьтесь от неудобств, связанных с настройкой доверенных клиентов.