SSL主题替代名称和中间人攻击

我的公司“ourcompany”拥有二级DNS域名: ourcompany.org 。 我们目前使用此域名,以及www.ourcompany.orgfeature1.ourcompany.org ,并为这些第三级域名生成SSL证书。

然后,我们订阅了第三方托pipe服务,托pipe在我们的ourcompany.thirdparty.org 。 他们处理SSL并拥有主题为thirdparty.org并具有Subject Alternative Name *.thirdparty.org

此第三方公司还提供了添加自定义域的function。 所以我们在DNSconfiguration中添加了一个CNAMElogging,现在我们有了feature2.ourcompany.org指向feature2.ourcompany.org 。 显然,在访问feature2.ourcompany.org时,SSL feature2.ourcompany.org

然后,第三方公司也要求我们通过TXT DNS条目来certificate我们是域名的所有者,他们能够以某种方式更新他们的SSL证书,并添加以下主题替代名称: *.ourcompany.org*.ourcompany.org

  • 那么这对于中间人来说不是一个潜在的来源呢? (第三方公司现在可以在我们的任何域名上冒充我们)
  • 一个任意的第三方公司如何生成有效的SSL证书,包括指向他们不拥有的域的SAN? (他们的SAN包括比我们添加的CNAME域logging更多的东西)
  • authentication机构是否允许我们的域名作为SAN,因为CNAMElogging指向他们的域名(在这种情况下,SAN如何包含比仅仅feature2.ourcompany.org更多的域名),或者由于TXT条目(在这种情况下,有人能指出我解释这个过程的资源)?

在查看了我们的DNSconfiguration之后,似乎证书颁发机构validation了第三方公司证书中的SAN条目,因为他们要求我们添加一个TXT条目: globalsign-domain-verification=XXXXXXX ,其中XXXXXXX是由GlobalSign到第三方公司(有关GlobalSignfunction的文档很难find,但我可以在这里find一些东西)。 这回答了第二和第三个问题。

对于第一个,似乎TXT条目被设置为第二级域名,第三方公司现在被授权在其证书的SAN条目中包括第二级域名以及其下的任何第三级域名。

第三方公司需要进行validation以certificate您可以访问域(就像godaddyvalidation简单的SSL证书一样)

这并不意味着他们有权访问您的域名和/或可以接pipe您的域名。 这也不意味着他们可以通过自己的证书build立连接。 这只是一个单独的证书,当你指向一个匹配的DNSlogging到他们的服务器时,他们将发放证书。 处理单个主机/地址上的许多证书是相当commin,因为今天sni(服务器名称指示)得到很好的支持。