版上各位大大好,小弟一名菜雞真。打工仔
目前打工的單位有*.bb.cc.com的憑證
其他單位有各自架設a.bb.cc.com、b.bb.cc.com的網站
近期遇到上頭指示說要全面轉成HTTPS
最簡單的情況下是其他單位過來拿一份*.bb.cc.com的憑證就好
但是小弟我不確定wildcard憑證給其他人會不會有甚麼問題
還是我應該要求其他單位的人自己處裡憑證?
作者:
blackhippo (PH6.0 微.酸民)
2021-07-16 01:50:00單純給憑證沒給私鑰是沒啥差....不過你要確認那些服務吃不吃wildcard憑證
嗯...要在各網站server軟體內啟用https就要private key吧?
作者:
blackhippo (PH6.0 微.酸民)
2021-07-16 02:42:00大家都用同張憑證又要私鑰的話..一個笨蛋把私鑰外流大家就是一起換憑證
作者:
pepsilee (Pepsi)
2021-07-16 08:28:002F不要不懂裝懂,最好可以只給憑證就能啟動HTTPS/TLS啦申請wildcard憑證不就是為了共用嗎如果外流對方還要能動你的DNS,真的怕就讓他們簽個切結
作者:
blackhippo (PH6.0 微.酸民)
2021-07-16 13:19:00所以你有看到我有說那樣可以啟動HTTPS/TLS嗎= =?
當然有啊 只是不知道除了dns以外還有哪些地方會有問題
作者:
johnten (每張照片都是一段緣份)
2021-07-16 14:25:00如果是bb.cc.com的萬用憑證 其實也不需要太擔心 除非你連dns的帳號密碼都給人
作者:
asdrt (安靜)
2021-07-16 15:31:00用waf一併管理就好(?
作者:
pepsilee (Pepsi)
2021-07-16 22:38:00請問2F,那你給憑證不給私鑰是要做甚麼?拿去拜嗎?
在對外接口架reverse proxy把e-cert放那就好.憑證外流的影響要看憑證類別. 如果只是確認伺服器身份的話一般就可能用戶被MITM攻擊讓傳送的東西可能被第三方看到. 如果有支援code signing就比較大問題, 因為拿到憑證的人可以在任意軟體用憑證簽署聲稱是由你的公司發佈的.