Ssl-Certificate

如何處理不應該通過證書透明公開的域名?

  • March 19, 2018

我有一組內部使用的域名,我不希望它們洩露到外部世界(因為這會給攻擊者提供內部網路佈局的高級知識)。鑑於證書透明度似乎正在獲得動力,關於擁有私有域名的最佳方式的普遍共識是什麼?自簽名證書?外卡證書?還有什麼?

我有一組內部使用的域名

僅供內部使用,您可以設置私有 CA,在內部系統上安裝其證書,並自行頒發內部證書。

如果您的內部使用伺服器以某種方式在外部使用,除非外部客戶端為您的證書添加例外,否則它們將無法工作。這不會阻止外部攻擊者發現內部域並對其進行攻擊。在這種情況下,請使用萬用字元證書。使用自簽名或內部 CA 證書會惹惱外部使用者,並且無法保護您免受攻擊(如大多數 DRM 模式)。

引用自:https://serverfault.com/questions/898062