AWS 不同地区的同通配符证书
AWS Same wildcard certificate in different regions
在不同地区申请同一个通配符证书安全吗?我在爱尔兰地区使用一个连接到生产 ELB,但我在 N.Virginia 地区需要相同的连接到 CloudFront。
安全不涉及证书,而是涉及私钥隐私级别。
假设您有 2 个具有不同密钥的证书用于相同的 FQDN(通配符或非通配符),一个在弗吉尼亚北部,另一个在爱尔兰。
如果您的私钥在弗吉尼亚北部被盗,则可以进行中间人攻击来解密与您的任何服务的通信内容:弗吉尼亚北部的服务和爱尔兰的服务。因此,拥有不同的证书和私钥不会改变任何东西。
但是,如果您使用的密码套件没有 PFS 属性(参见 https://en.wikipedia.org/wiki/Forward_secrecy),N Virginia 私钥将只允许解密与 N Virginia 服务的通信。
因此,在这种情况下,拥有不同的证书和私钥确实会改变您的安全级别。
无论如何,使用 AWS ELB 和 AWS CloudFront,即使您选择使用自己的私钥,AWS 也会知道私钥。因此,您的安全并不取决于您。这取决于 AWS 保护您的私钥的方式,您无法获得相关信息:在不同地区拥有一个公共私钥可能比每个地区拥有一个密钥更安全,也可能不会更不安全。
使用 AWS 服务和 AWS 不知道的私钥的唯一方法是使用 CloudHSM AWS 服务,或者自己购买一个 HSM 并将其连接到您的 AWS VPC。不幸的是,要在 AWS 上使用此服务提供 Web 服务,您需要在 EC2 实例上安装 Web 服务器,因为 CloudHSM 和客户 HSM 与 ELB 和 CloudFront 不兼容。
在您的情况下,您需要信任 AWS。
如果您多次从 Amazon Certificate Manager 请求 "the same" 证书——无论是在同一地区还是跨地区——您实际上不会获得相同的 相同 证书多次。多个证书将各自具有相同的主题和主题备用名称,但它们不会真正成为 "the same" 证书。他们将拥有不同的私钥和 ARN。
跨区域请求具有相同主题(域)的证书没有安全隐患,因为这两个证书没有任何共同点。
请注意,如果您正在使用 HPKP then you'll need to account for the existence of multiple valid public keys. Pinning ACM-issued certs is not recommended 并且显然,固定现在无论如何都已弃用。
此外,无论您是否在多个区域使用证书,请务必尽可能对您的证书使用 DNS 验证。如果您使用电子邮件验证,证书的自动年度续订可能无法按预期工作,特别是当在多个区域创建相同域的证书或证书在单个区域但仅是通配符域的证书时。如果您不使用 DNS 验证,则在这些情况和其他情况下,您可能必须手动确认续订电子邮件。 (这不是服务 本身 的限制。电子邮件验证证书的自动续订要求服务验证证书上列出的域名实际上正在使用证书上的证书互联网,ACM 需要在不使用内部信息的情况下验证这一点。)
DNS 验证是在 ACM 可用后引入的,因此如果您在该功能发布之前已有 ACM 颁发的现有证书,则应考虑创建具有 DNS 验证的新证书,然后切换到它们。
在不同地区申请同一个通配符证书安全吗?我在爱尔兰地区使用一个连接到生产 ELB,但我在 N.Virginia 地区需要相同的连接到 CloudFront。
安全不涉及证书,而是涉及私钥隐私级别。
假设您有 2 个具有不同密钥的证书用于相同的 FQDN(通配符或非通配符),一个在弗吉尼亚北部,另一个在爱尔兰。
如果您的私钥在弗吉尼亚北部被盗,则可以进行中间人攻击来解密与您的任何服务的通信内容:弗吉尼亚北部的服务和爱尔兰的服务。因此,拥有不同的证书和私钥不会改变任何东西。
但是,如果您使用的密码套件没有 PFS 属性(参见 https://en.wikipedia.org/wiki/Forward_secrecy),N Virginia 私钥将只允许解密与 N Virginia 服务的通信。 因此,在这种情况下,拥有不同的证书和私钥确实会改变您的安全级别。
无论如何,使用 AWS ELB 和 AWS CloudFront,即使您选择使用自己的私钥,AWS 也会知道私钥。因此,您的安全并不取决于您。这取决于 AWS 保护您的私钥的方式,您无法获得相关信息:在不同地区拥有一个公共私钥可能比每个地区拥有一个密钥更安全,也可能不会更不安全。
使用 AWS 服务和 AWS 不知道的私钥的唯一方法是使用 CloudHSM AWS 服务,或者自己购买一个 HSM 并将其连接到您的 AWS VPC。不幸的是,要在 AWS 上使用此服务提供 Web 服务,您需要在 EC2 实例上安装 Web 服务器,因为 CloudHSM 和客户 HSM 与 ELB 和 CloudFront 不兼容。
在您的情况下,您需要信任 AWS。
如果您多次从 Amazon Certificate Manager 请求 "the same" 证书——无论是在同一地区还是跨地区——您实际上不会获得相同的 相同 证书多次。多个证书将各自具有相同的主题和主题备用名称,但它们不会真正成为 "the same" 证书。他们将拥有不同的私钥和 ARN。
跨区域请求具有相同主题(域)的证书没有安全隐患,因为这两个证书没有任何共同点。
请注意,如果您正在使用 HPKP then you'll need to account for the existence of multiple valid public keys. Pinning ACM-issued certs is not recommended 并且显然,固定现在无论如何都已弃用。
此外,无论您是否在多个区域使用证书,请务必尽可能对您的证书使用 DNS 验证。如果您使用电子邮件验证,证书的自动年度续订可能无法按预期工作,特别是当在多个区域创建相同域的证书或证书在单个区域但仅是通配符域的证书时。如果您不使用 DNS 验证,则在这些情况和其他情况下,您可能必须手动确认续订电子邮件。 (这不是服务 本身 的限制。电子邮件验证证书的自动续订要求服务验证证书上列出的域名实际上正在使用证书上的证书互联网,ACM 需要在不使用内部信息的情况下验证这一点。)
DNS 验证是在 ACM 可用后引入的,因此如果您在该功能发布之前已有 ACM 颁发的现有证书,则应考虑创建具有 DNS 验证的新证书,然后切换到它们。