Влияет ли обновление конфигурации SNI на SSL-сертификаты и проверку

Question

Я разрабатываю приложение для нетехнического клиента, которое передало серверную часть другому разработчику. Мы запустим приложение под 7 различными фирменными приложениями в течение нескольких недель. Каждое приложение одно и то же, без домена для конечных точек API (на IIS).

В рамках нашей безопасности мы проверяем SSL-сертификат при подключении к API и проверяем, чтобы ключ, возвращаемый сервером API, соответствовал нашей жестко запрограммированной версии, чтобы предотвратить прослушивание атак типа "посередине". наши REST звонки. Теперь у нас есть эта функция для текущего сервера (необходимо развернуть 1 из 7).

Мы попросили бэкэндов предоставить сертификаты для оставшихся 6 сайтов, чтобы мы могли развертывать приложения с ожидаемыми ключами. Однако они утверждают, что, поскольку они будут развертывать сайты индивидуально в течение ближайших недель, каждый раз, когда они выводят новый новый сайт в сеть, они заявляют, что «обновляют сертификат SSL», который необходим, поскольку они «используют SNI на сервер, поэтому каждый раз, когда добавляется новый сайт, сертификат будет меняться, и жестко закодированная проверка для существующих сайтов будет прерываться ".

Теперь, хотя я не дурак, я также не являюсь администратором сервера и только на 99,9% уверен, что конфигурация SNI для поддержки другого сертификата на сервере не окажет никакого влияния на текущие сертификаты, уже размещенные для существующие домены. В результате я хотел явно подтвердить, что ключ сертификата, который мы проверяем как часть аутентификации SSL, не будет меняться с каждой ревизией конфигурации SNI. Разработчики бэкэнда по существу закрыли нас, заявив, что мы параноики, и идем «за пределы того, что требуется», и не ожидаем «того же уровня безопасности, который предлагают основные игроки» (как я уже говорил, любое приличное коммерческое приложение проверяет свое соединение).

Может ли кто-нибудь подтвердить (или исправить) мое понимание SNI в том, что касается сертификатов, прежде всего того, что, когда они выводят на сайт новые сайты, изменения в SNI не влияют на существующие сертификаты для текущих сайтов?

Редактировать. Хотя использование многодоменных сертификатов могло бы сгенерировать ключ, мы можем предположить, что они могут сгенерировать / повторно выдать многодоменный сертификат сейчас, до того как домены будут подключены к сети. Вопрос о том, зависит ли это от конфигурации SNI, остается.

Answer 1

«обновление SSL-сертификата», которое требуется, поскольку они «используют SNI на сервере, поэтому при каждом добавлении нового сайта сертификат будет меняться, и проверка с жестким кодом для существующих сайтов будет прерываться».

Это странный аргумент.Смысл SNI в том, что они могут иметь несколько сайтов (доменов) на одном IP-адресе, где у каждого есть свой собственный сертификат.Если они добавляют новый сайт, необходимо создать только новый сертификат для нового домена, и все остальные сертификаты будут продолжать работать: клиент, использующий SNI, сообщит, какой сайт он хочет посетить, и сервер затем сможет выбрать соответствующий сертификат.Если бы вместо этого они не могли полагаться на SNI, им пришлось бы использовать сертификаты, которые охватывают все сайты с одним и тем же IP-адресом.

Так что, хотя у них может быть какой-то процесс, требующий такого рода перевыпуска сертификатов, этоне требование из-за использования SNI, а только потому, что они разработали свой процесс таким образом.