我在一家开发内部和 Intranet Web 应用程序的咨询公司工作。我们不拥有或管理任何基础设施,但会安装和支持应用程序。我们收到了一个请求,要求我们接管 Web 服务器上 HTTPS/SSL 的配置和管理。有什么理由让应用程序开发人员而不是管理和管理服务器的 IT 基础架构团队坐下来?
据我了解,证书将属于服务器,理想情况下应该由拥有服务器的人管理,我不知道应用程序需要知道需要开发人员拥有的证书的任何原因网络服务器的配置。
对此的最佳做法是什么?特别是当开发人员是代表客户工作的第 3 方时。
编辑:在这种情况下,我们正在处理简单的 LOB CRUD 应用程序,所以我想不出任何特殊情况需要应用程序本身做任何不寻常的事情。并不是说我不想阻止可能适用于可能处于这种情况的其他人的答案!
将 ssl 证书的责任交给应用程序/应用程序开发人员可能有意义的一种极端情况:
如果您的应用程序可以通过多个域名访问,并且这些域名由应用程序本身控制,那么应用程序/应用程序开发人员设置一个系统以自动将证书扩展到新的域列表是有意义的域已添加。
这也可能与允许用户创建自己的子域的应用程序相关(例如 john.example.com 和 jane.example.com),但我认为在这种情况下,您通常要做的是获得通配符证书这将涵盖 *.example.com,在这种情况下,应用程序/应用程序开发人员无需处理证书)。
除此之外,我看不出第三方顾问应该处理客户的 ssl 证书的理由。事实上,我认为这是一个缺点,因为从安全角度来看,您会添加一个额外的故障点 - 毕竟,如果顾问负责为客户的服务器获取证书,他也可以访问到私钥,这可能是客户和顾问的责任:
该客户端可能永远无法确定谁曾访问他的加密通信他的客户,因为他不可能不知道谁的SSL证书对他的顾问是否采取了一切必要的照顾,以保持私钥保护,并在那里的情况下侵犯隐私并带来财务(或公共)后果,顾问可能突然不得不证明这不是他的错,以免被追究责任。
所以如果我是你,我会建议客户尽可能不要外包证书获取和部署(当然,如果他们没有自己的技术人员,那么就没有办法了)。
我已经看到证书的责任取决于具体情况,但我会说一般来说,这取决于您是否与客户签订了维护协议。如果您有维护协议,那么他们可能希望您随着时间的推移更新他们的域名、证书等;因此,您应该是设置它们的人。如果您没有维护协议,那么该责任应该落在他们的 IT 人员身上。