在不同地区申请相同的通配符证书是否安全?我在爱尔兰地区使用连接到生产ELB的一个,但我需要在N.Virginia地区将其连接到CloudFront。
答案 0 :(得分:2)
如果您要求"相同"来自Amazon Certificate Manager的证书不止一次 - 无论是在同一地区还是跨地区 - 您实际上不会多次发出相同的相同的证书。多个证书将各自具有相同的主题和主题替代名称,但他们不会真正地"相同"证书。他们将拥有不同的私钥和ARN。
对于跨区域请求具有相同主题(域)的证书没有安全隐患,因为这两个证书没有任何共同之处。
请注意,如果您使用的是HPKP,那么您需要考虑是否存在多个有效的公钥。固定ACM颁发的证书is not recommended,显然,固定现在已被弃用。
此外,请确保尽可能使用DNS验证,无论您是否在多个地区使用证书。如果您使用电子邮件验证,则证书的自动年度续订可能无法按预期工作,尤其是在多个区域中创建相同域的证书或证书位于单个区域但仅为通配符域的证书时。如果您不使用DNS验证,则可能必须在这些和其他情况下手动确认续订电子邮件。 (这不是服务本身的限制。自动续订经过电子邮件验证的证书需要服务验证证书上列出的域名是否实际使用了Internet上的证书,并且ACM需要使用没有内部信息来验证这一点。)
在ACM可用之后引入了DNS验证,因此如果您在此功能发布之前拥有ACM颁发的现有证书,则应考虑使用DNS验证创建新证书,并切换到它们。
答案 1 :(得分:1)
安全性不处理证书,而是处理私钥的隐私级别。
假设您有2个证书,其中包含相同FQDN(通配符或不通配符)的不同密钥,一个在N弗吉尼亚州,另一个在爱尔兰。
如果您的私钥在弗吉尼亚州北部被盗,可以使用中间人攻击来解密与您的任何服务的通信内容:N弗吉尼亚州和爱尔兰的服务。因此,拥有不同的证书和私钥不会改变任何内容。
但如果您使用没有PFS属性的密码套件(请参阅https://en.wikipedia.org/wiki/Forward_secrecy),则N Virginia私钥将仅允许解密与N Virginia服务的通信。 因此,在这种情况下,拥有不同的证书和私钥会改变您的安全级别。
无论如何,使用AWS ELB和AWS CloudFront,即使您选择使用自己的私钥,AWS也会知道私钥。因此,您的安全性不依赖于您。这取决于AWS将保护您的私钥的方式,并且您无法获得有关此信息的信息:在不同区域中拥有公共私钥可能比每个区域拥有一个密钥更安全,也可能没有安全性。
将AWS服务与AWS未知的私钥一起使用的唯一方法是使用CloudHSM AWS服务,或者自己购买HSM并将其连接到您的AWS VPC。遗憾的是,要在AWS上使用此服务获得Web服务,您需要在EC2实例上安装Web服务器,因为CloudHSM和客户HSM与ELB和CloudFront不兼容。
在您的情况下,您需要信任AWS。