Hlavní navigace

Názor k článku Hardening webového serveru Apache: šifrování a certifikáty od Miroslav Šilhavý - Pokud ještě žádnou interní certifikační autoritu nemáte, tak...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 2. 2020 16:15

    Miroslav Šilhavý

    Pokud ještě žádnou interní certifikační autoritu nemáte, tak už jí určitě nezakládejte. A pokud ji už máte, pomalu bych přemýšlel o její náhradě. Samozřejmě se to netýká velkých firem, kde na to mají tým lidí, který se tomu věnuje na plný úvazek – ale takoví lidé se na to nebudou ptát na rootu.

    Jde o to, jestli chcete používat lokální DNS názvy (např. .local). Tam má interní CA smysl. Přechod na veřejné názvy má taky smysl, ale zejména s IPv4 NAT je to složitější, o to víc práce je s nastavením a udržováním firewallu - to si nevyberete. Diskutujeme ale pod dotazem, který se týká právě situace s místním DNS názvem.

    Interní CA je lehlá všude, kde mají Windows Server, tam je certificate enrollment docela snadný. Certifikát CA se pak instaluje na stanice automaticky při přihlášení, takže tým nebude vůbec řešit, jestli povolování certifikátu pro intranetový server.

    Tam, kde je možnost přejít na veřejné názvy to je taky možné, ale zase se musí řešit buďto místní přebíjení DNS odpovědí (fuj praktika), nebo dvojitý nat, aby i zevnitř byly servery dostupné pod veřejnou IP adresou. Nebo v kombinaci s proxy serverem. To je podle mě větší pakárna a bezpečnostně složitější, než používat interní CA.