AWS不同地区的同一通配证书

Question

在不同地区申请同一通配证书安全吗？我在爱尔兰地区使用一台连接到量产ELB的设备，但我需要在N.Virginia地区使用连接到CloudFront的设备。

Answer 1

如果您多次向亚马逊证书管理器请求“相同”证书 - 无论是在同一地区还是跨地区 - 您将不会多次发出相同的相同的证书。多个证书将具有相同的主题和主题替代名称，但它们不会真正成为“相同”证书。他们将拥有不同的私钥和ARN。

因为两个证书之间没有任何共同之处，所以对于请求具有相同主题（域）的证书没有任何安全影响。

请注意，如果您使用的是HPKP，那么您需要考虑多个有效公钥的存在。

另外，如果证书为只有为通配符域，则证书的自动年度续订可能无法按预期工作。您可能需要手动确认续订电子邮件。

Answer 2

安全性不处理证书，但涉及私钥的私钥级别。

假设您拥有2个具有不同密钥的相同FQDN（通配符或不相符）的证书，一个位于弗吉尼亚州北部，另一个位于爱尔兰。

如果您的私钥在北弗吉尼亚州被盗，可以使用中间人攻击来解密您的任何服务的通信内容：N弗吉尼亚州和爱尔兰。所以，拥有不同的证书和私钥不会改变任何内容。

但是如果您使用的密码套件没有PFS属性（请参见https://en.wikipedia.org/wiki/Forward_secrecy），则N弗吉尼亚私钥只会允许解密与N弗吉尼亚州服务的通信。 因此，在这种情况下，拥有不同的证书和私钥确实会改变您的安全级别。

无论如何，使用AWS ELB和AWS CloudFront，即使您选择使用自己的密钥，AWS也会知道私钥。因此，你的安全并不取决于你。这取决于AWS将如何保护您的私钥，并且您不能获得有关这方面的信息：在不同地区拥有一个公用私钥可能或者可能并不比每个地区只有一个密钥的安全性要低。

使用AWS服务和AWS未知的私钥的唯一方法是使用CloudHSM AWS服务，或者自行购买HSM并将其连接到AWS VPC。不幸的是，要在AWS上使用此服务提供Web服务，您需要在EC2实例上安装Web服务器，因为CloudHSM和客户HSM与ELB不兼容，也不兼容CloudFront。

在你的情况下，你需要信任AWS。