3

在不同地区申请相同的通配符证书是否安全?我正在使用一个连接到爱尔兰地区的生产 ELB,但我需要在 N.Virginia 地区使用相同的 ELB 才能将其连接到 CloudFront。

4

2 回答 2

4

如果您多次从 Amazon Certificate Manager 请求“相同”证书(无论是在同一区域还是跨区域),您实际上不会多次获得相同的证书。多个证书都将具有相同的主题和主题替代名称,但它们并不是真正的“相同”证书。他们将拥有不同的私钥和 ARN。

跨区域请求具有相同主题(域)的证书没有安全隐患,因为这两个证书没有任何共同之处。

请注意,如果您使用的是HPKP,那么您需要考虑多个有效公钥的存在。不建议固定 ACM 颁发的证书,显然,无论如何现在都已弃用固定。

此外,请务必尽可能对您的证书使用 DNS 验证,无论您是否在多个区域中使用证书。如果您使用电子邮件验证,证书的自动年度续订可能无法按预期工作,特别是当在多个区域创建相同域的证书或证书位于单个区域但仅是通配符域的证书时。如果您不使用 DNS 验证,您可能必须在这些和其他情况下手动确认续订电子邮件。(这不是服务本身的限制。通过电子邮件验证的证书的自动续订要求服务验证证书上列出的域名实际上是在 Internet 上使用该证书,并且 ACM 需要使用 no 来验证这一点内部信息。)

DNS 验证是在 ACM 可用后引入的,因此如果您在此功能发布之前拥有 ACM 颁发的现有证书,您应该考虑创建具有 DNS 验证的新证书,并切换到它们。

于 2017-07-26T17:10:19.417 回答
1

安全性不处理证书,而是处理私钥级别的隐私。

假设您有 2 个具有相同 FQDN(或非通配符)的不同密钥的证书,一个在弗吉尼亚北部,另一个在爱尔兰。

如果您的私钥在弗吉尼亚北部被盗,则可以进行中间人攻击以解密与您的任何服务的通信内容:弗吉尼亚北部的一个和爱尔兰的一个。因此,拥有不同的证书和私钥不会改变任何事情。

但是,如果您使用没有 PFS 属性的密码套件(请参阅https://en.wikipedia.org/wiki/Forward_secrecy),N Virginia 私钥将只允许解密与 N Virginia 服务的通信。因此,在这种情况下,拥有不同的证书和私钥确实会改变您的安全级别。

无论如何,使用 AWS ELB 和 AWS CloudFront,AWS 将知道私钥,即使您选择使用自己的私钥。因此,您的安全并不取决于您。这取决于 AWS 保护您的私有密钥的方式,您无法获得相关信息:在不同区域拥有一个公共私有密钥可能会或可能不会比每个区域拥有一个密钥更安全。

使用 AWS 不知道的私有密钥的 AWS 服务的唯一方法是使用 CloudHSM AWS 服务,或者为自己购买一个 HSM 并将其连接到您的 AWS VPC。不幸的是,要在 AWS 上使用此服务提供 Web 服务,您需要在 EC2 实例上安装 Web 服务器,因为 CloudHSM 和客户 HSM 不兼容 ELB,也不兼容 CloudFront。

在您的情况下,您需要信任 AWS。

于 2017-07-26T02:00:23.780 回答