Saya ingin memahami apakah perusahaan penyewa saya memiliki sertifikat SSL wildcard, apakah akan berfungsi dengan pengaturan ini atau sertifikat SSL baru harus dibeli docs.tenantcompany.com
?
Jawaban singkat: Tidak. Jika perusahaan penyewa Anda memiliki wildcard dalam nama *.tenantcompany.com
, itu cukup untuk diinstal pada server Anda untuk menutupi akses melalui nama itu. Apakah Anda ingin melakukan ini atau tidak adalah cerita lain.
Sertifikat dalam nama docs.<tenant>.mycompany.com
(mis. Sertifikat langsung, atau wildcard *.<tenant>.mycompany.com
) tidak berguna jika akses selalu dilakukan melalui docs.tenantcompany.com
nama.
Jawaban yang lebih panjang
Misalkan Anda menjelajah ke https://docs.tenantcompany.com
dalam browser yang masuk akal. Browser menjalankan TLS melalui protokol HTTP. Ini peduli secara khusus tentang dua hal; bahwa:
subsistem DNS dari browser dan sistem operasi mengembalikan alamat IP dari host yang cocok, yang menjalankan server web pada port yang sesuai di tempat lain di jaringan lokal atau internet. Untuk lalu lintas HTTPS (diamankan), port defaultnya 443
kecuali dinyatakan sebaliknya dalam URL.
Ketika jabat tangan TLS terjadi antara browser dan server jarak jauh, server menyajikan sertifikat tepercaya yang memungkinkannya menyediakan layanan TLS di alamat yang diminta ( docs.tenantcompany.com
).
DNS
Browser melihat DNS sebagai kotak hitam. Itu membuat panggilan ke perpustakaan DNS yang sesuai untuk meminta pemetaan dari nama domain yang memenuhi syarat ramah (FQDN) menjadi alamat IP yang sesuai (v4 atau v6). Tidak peduli bagaimana mendapatkan alamat IP itu. Jika ada 20 CNAME
alias dalam DNS antara catatan asli dan A
atau AAAA
catatan, penyelesai DNS akan mengikuti mereka sampai alamat IP diperoleh.
TLS
Ketika browser melakukan jabat tangan TLS , perlu untuk memverifikasi bahwa server sedang berkomunikasi dengan berwenang untuk memberikan layanan situs Web aman di FQDN yang diminta: docs.tenantcompany.com
.
Ingat: browser tidak peduli docs.<tenant>.mycompany.com
- resolver DNS telah mengabstraksikan semua pengetahuan tentang tipuan melalui CNAME
catatan.
Metode kami mengotorisasi server untuk melayani sesi aman docs.tenantcompany.com
adalah dengan menggunakan sertifikat SSL yang ditandatangani oleh otoritas yang telah dipercaya sebelumnya di toko sertifikat root browser. Ini tidak selalu merupakan bentuk otentikasi terkuat dari server ke klien - banyak yang bisa salah dalam model CA terpusat - tetapi ini adalah yang terbaik yang kami miliki saat ini.
Ada dua peringatan lebih lanjut di sini:
Berbagi kunci
Banyak vendor sertifikat SSL komersial hanya akan menandatangani permintaan penandatanganan tunggal, yang secara efektif mengikat sertifikat wildcard ke kunci privat tunggal. Perusahaan penyewa mungkin merasa tidak nyaman membagikan hal ini di luar organisasi mereka, karena siapa pun yang memiliki kunci pribadi jelas dapat membahayakan komunikasi dengan perusahaan lain yang dijamin sistem keamanannya.
Beberapa vendor akan menandatangani beberapa permintaan penandatanganan sertifikat di bawah sertifikat yang sama, yang memungkinkan sertifikat wildcard tunggal diinstal pada beberapa server dan sistem tanpa berbagi kunci pribadi di antara mereka.
Menyamar
Jika perusahaan penyewa memberi Anda salinan sertifikat wildcard mereka (baik dengan membagikan kunci pribadi, atau menandatangani CSR Anda sendiri), Anda dapat menyamar sebagai <anydomain>.tenantcompany.com
, memecah perlindungan penting yang memastikan integritas server yang diidentifikasi dalam tenantcompany.com
namespace DNS. Ini bisa menjadi posisi yang buruk bagi Anda dan perusahaan penyewa untuk ditempatkan, dari perspektif hukum / kewajiban.