Самоподписанные сертификаты в современной инфраструктуре: риски, угрозы и роль корпоративного CA

Самоподписанный сертификат – это сертификат, подписанный тем же субъектом, которому он принадлежит, а не доверенным центром сертификации.
В классической инфраструктуре TLS доверие строится так:
Trusted Root CA
  ↓
Intermediate CA
  ↓
Server Certificate
Браузеры и операционные системы уже содержат список доверенных корневых центров сертификации, что и обеспечивает доверие ко всей цепочке.
В случае self-signed сертификата такой цепочки доверия попросту нет, поэтому доверенное взаимодействие должно устанавливаться другими (накладными) способами, что зачастую не применяется в реальной жизни.

Несмотря на ограничения, self-signed сертификаты широко используются во внутренних инфраструктурах.
Внутренние сервисы и микросервисы

Во многих компаниях внутренние API и сервисы используют TLS исключительно для шифрования трафика внутри сети.

Типичные примеры:

• микросервисы;
• административные панели;
• внутренние API;
• сервисы в приватных сетях.

В таких системах self-signed сертификаты часто используются, потому что:

• инфраструктура изолирована;
• нет необходимости в публичном доверии;
• сертификаты легко генерировать.

Development и тестовые среды
В процессе разработки часто необходимо тестировать HTTPS-соединения.

Self-signed сертификаты позволяют:

• тестировать secure cookies;
• проверять политики безопасности;
• разрабатывать OAuth и SSO системы.

Корпоративный PKI
Интересно, что самоподписанные сертификаты используются даже в правильно построенной PKI-инфраструктуре.

Корневой центр сертификации всегда является self-signed:
Root CA (self-signed)
  ↓
Intermediate CA
  ↓
Service Certificates

И это нормальная практика, но при условии, что в корпоративной сети корректно настроено доверие к корневому CA, иначе корпоративная PKI не имеет никакого смысла.

Mutual TLS и Zero-Trust архитектуры
Во многих современных системах используется двусторонняя аутентификация (mTLS). Она применяется в:

• микросервисных архитектурах;
• service mesh;
• внутренних API.

Существуют популярные инструменты для управления такими сертификатами (например, HashiCorp Vault), однако они закрывают лишь вопросы автоматизации получения сертификатов и их установки, вопросы корпоративного доверия остаются открытыми.

Читайте продолжение на habr.com

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, Unified SSO, Web SSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.