Vários domínios com certificado SSL incorreto no balanceador de carga

1

Deixe-me afirmar que não sou especialista em balanceador de carga, mas sei que, se você descarregar um certificado SSL no balanceador de carga, terá várias vantagens.

Um de nossos clientes deseja armazenar muitos sites em cache por meio de um CDN usando SSL. Por uma questão de argumento, vamos fingir que os sites são link e link

Eles querem instalar no balanceador de carga um "certificado errado" (por exemplo, um certificado com CN: origin.oursites.com) para que eles não precisem continuar atualizando o certificado sempre que um novo site for adicionado ao cache do CDN. Eles dizem que isso pode ser feito porque o CDN permite uma incompatibilidade de certificado.

Minha pergunta, e pode ser estúpida, é a seguinte: se o certificado não corresponder, como o balanceamento de carga pode descriptografar cada pacote e descobrir o URL exato que está sendo solicitado e descobrir quais servidores devem ser o pacote sendo enviado para? o que estou perdendo?

Por favor, você pode me ajudar a entender se isso é realmente viável e, em caso afirmativo, por que funciona, por favor?

Obrigado antecipadamente, // Francesco

    
por Francesco Gallarotti 04.06.2017 / 11:42

2 respostas

1

Antes de mais nada, com relação a "se o certificado não corresponder, como o balanceamento de carga pode descriptografar cada pacote", o caso é que a validação do certificado é uma pré-condição para trocar as chaves de criptografia (simétricas). Se você remover a etapa de validação (ou partes dela), será mais provável que você consiga estabelecer a conexão criptografada, e não o contrário. O problema é que agora você tem uma conexão criptografada ativa, mas na verdade não sabe quem é a outra parte; pode ser a festa com a qual você tentou se conectar, mas também pode ser qualquer outra pessoa que tenha conseguido interceptar sua conexão.

Se o CDN permitir um certificado incompatível na origem, sem outras qualificações, isso é uma prática de segurança horrível.
Isso permitiria ataques man-in-the-middle triviais (conforme acima), já que absolutamente qualquer um pode apresentar um certificado assinado, mas incompatível, e ser aceito como origem.

Se, no entanto, o CDN tiver algum outro meio de validar o certificado de origem, como fixar (reconhecendo o próprio certificado em vez de confiar na cadeia de confiança + nome do requerente correspondente), esse certificado válido usado para essas origens e com isso, ignorando o nome do assunto, isso seria bom, pois não permitiria que os certificados incompatíveis de outra pessoa fossem aceitos. Na verdade, ele altera a validação para um modelo geral muito mais rigoroso.

    
por 04.06.2017 / 13:01
1

Não é nada estúpido. Para responder à sua pergunta, uma incompatibilidade de certificado, ou seja, o nome no certificado não corresponde ao URL solicitado, não afetará a criptografia real. Se o aviso sobre o nome incompatível puder ser ignorado, os dados ainda serão enviados / recebidos criptografados como se fosse uma correspondência válida.

No entanto, não é uma boa prática. O cenário de segurança atual significa que as verificações de SSL e a validação de certificados se tornarão mais restritas, portanto, o CDN que aceita uma incompatibilidade não é algo que você pode ter certeza que continuará assim.

Uma opção para seu cliente seria usar um certificado curinga , por exemplo, para mysites.com que funcionaria com site1 .mysites.com, site2.mysites.com, site n .mysites.com

    
por 04.06.2017 / 12:39