Доверяй, но… Нет 🙂
Во внутреннем контуре self-signed сертификаты нередко воспринимаются как что-то вполне рабочее. Но при неправильно выстроенной модели доверия они создают серьёзные риски безопасности 😞
В новой статье на Хабре разбираем, почему «бесплатная и быстрая» защита через самоподписанные сертификаты во внутренней сети часто превращается в открытую дверь для злоумышленников.
👨💻 О чем пойдет речь:
🔴 Почему шифрование трафика без проверки подлинности – это подарок для MITM-атак.
🔴 Как один сертификат может скомпрометировать всю инфраструктуру, включая контроллер домена.
🔴 Почему автоматизация выпуска не решает проблему доверия.
🔴 Зачем нужен полноценный PKI, как он спасает от «отравления» доверенных хранилищ и почему ротация сертификатов раз в 30 дней – это не паранойя, а гигиена.
Самоподписанные сертификаты хороши для тестов «на коленке», но в серьезном энтерпрайзе они становятся слабым звеном. Поэтому, чтобы ваша инфраструктура «не доверяла кому попало», пора строить правильный корпоративный CA 👆
