在不同地区申请同一通配证书安全吗?我在爱尔兰地区使用一台连接到量产ELB的设备,但我需要在N.Virginia地区使用连接到CloudFront的设备。AWS不同地区的同一通配证书
回答
如果您多次向亚马逊证书管理器请求“相同”证书 - 无论是在同一地区还是跨地区 - 您将不会多次发出相同的相同的证书。多个证书将具有相同的主题和主题替代名称,但它们不会真正成为“相同”证书。他们将拥有不同的私钥和ARN。
因为两个证书之间没有任何共同之处,所以对于请求具有相同主题(域)的证书没有任何安全影响。
请注意,如果您使用的是HPKP,那么您需要考虑多个有效公钥的存在。
另外,如果证书为只有为通配符域,则证书的自动年度续订可能无法按预期工作。您可能需要手动确认续订电子邮件。
安全性不处理证书,但涉及私钥的私钥级别。
假设您拥有2个具有不同密钥的相同FQDN(通配符或不相符)的证书,一个位于弗吉尼亚州北部,另一个位于爱尔兰。
如果您的私钥在北弗吉尼亚州被盗,可以使用中间人攻击来解密您的任何服务的通信内容:N弗吉尼亚州和爱尔兰。所以,拥有不同的证书和私钥不会改变任何内容。
但是如果您使用的密码套件没有PFS属性(请参见https://en.wikipedia.org/wiki/Forward_secrecy),则N弗吉尼亚私钥只会允许解密与N弗吉尼亚州服务的通信。 因此,在这种情况下,拥有不同的证书和私钥确实会改变您的安全级别。
无论如何,使用AWS ELB和AWS CloudFront,即使您选择使用自己的密钥,AWS也会知道私钥。因此,你的安全并不取决于你。这取决于AWS将如何保护您的私钥,并且您不能获得有关这方面的信息:在不同地区拥有一个公用私钥可能或者可能并不比每个地区只有一个密钥的安全性要低。
使用AWS服务和AWS未知的私钥的唯一方法是使用CloudHSM AWS服务,或者自行购买HSM并将其连接到AWS VPC。不幸的是,要在AWS上使用此服务提供Web服务,您需要在EC2实例上安装Web服务器,因为CloudHSM和客户HSM与ELB不兼容,也不兼容CloudFront。
在你的情况下,你需要信任AWS。
- 1. 不同的证书密钥
- 2. 不同地区
- 3. Elasticsearch npm:通过AWS证书
- 4. Apache配置为同一台服务器上的不同定位器使用不同的证书
- 5. 不同地区的网站
- 6. AWS不同地区的数据和数据库存储
- 7. 如何沟通vpc aws不同的平衡区域?
- 8. 为不同的端点检查不同的证书
- 9. apk使用不同的证书
- 10. 我可以通过Rails代码明智地设置不同的SSL证书吗?
- 11. 网站不同部分的不同SSL证书
- 12. 不同地区的时区转换
- 13. AWS多区域ElastiCache同步
- 14. 根据地区不同,
- 15. 将通配证书安装到AWS EC2负载均衡器上
- 16. AWS S3证书/证书错误
- 17. SSL证书通配符
- 18. SSL通配符证书
- 19. AWS SDK所需的证书
- 20. 客户端证书通过ARR和AuthorizationContext有不同thumprint
- 21. Spring:同一对象,不同的验证
- 22. 在不同的国家/地区显示不同的Wordpress菜单
- 23. Google Auto suggestion在不同地区使用城市不匹配
- 24. 我的证书中推送通知配置证书问题
- 25. Hbase来自同一地区服务器的表的地区
- 26. 针对不同国家/地区的不同应用名称
- 27. 如何为同一虚拟主机上的两个不同域配置letsencrypt证书?
- 28. AWS API Gateway(RapidSSL证书)中的“无法验证证书链”
- 29. AWS CA SSL证书不起作用?
- 30. 保存在不同的地区/语言