Ist es sicher, dasselbe Wildcard-Zertifikat in verschiedenen Regionen anzufordern? Ich benutze eine Verbindung zur Produktion ELB in Irland, aber ich brauche das gleiche in der Region N.Virginia, um es mit CloudFront zu verbinden.AWS Gleiches Platzhalterzertifikat in verschiedenen Regionen
Wenn Sie "das gleiche" Zertifikat von Amazon Certificate Manager mehr als einmal anfordern - egal ob in der gleichen Region oder in verschiedenen Regionen - werden Sie nicht dasselbe identische Zertifikat mehrmals erhalten. Die mehreren Zertifikate haben jeweils die gleichen Themen und alternativen Namen, aber sie sind nicht wirklich das "gleiche" Zertifikat. Sie werden verschiedene private Schlüssel und ARNs haben.
Es gibt keine Sicherheitsbedenken für die Anforderung von Zertifikaten mit demselben Subjekt (Domäne) über Regionen hinweg, da die beiden Zertifikate nichts gemeinsam haben.
Beachten Sie, dass Sie bei Verwendung von HPKP die Existenz mehrerer gültiger öffentlicher Schlüssel berücksichtigen müssen. Die automatische jährliche Erneuerung der Zertifikate funktioniert möglicherweise nicht wie erwartet, wenn das Zertifikat nur für die Platzhalterdomäne ist Möglicherweise müssen Sie Verlängerungs-E-Mails manuell bestätigen.
Die Sicherheit befasst sich nicht mit dem Zertifikat, sondern befasst sich mit dem privaten Schlüssel der Privatsphäre.
Angenommen, Sie haben 2 Zertifikate mit unterschiedlichen Schlüsseln für denselben FQDN (Wildcard oder nicht), einen in N Virginia, den anderen in Irland.
Wenn Ihr privater Schlüssel in N. Virginia gestohlen wird, kann ein Man-in-the-Middle Angriff durchgeführt werden, um Kommunikationsinhalte mit einem Ihrer Dienste zu entschlüsseln: dem in N Virginia und dem in Irland. Unterschiedliche Zertifikate und private Schlüssel ändern also nichts.
Wenn Sie jedoch Cipher Suites ohne die PFS-Eigenschaft verwenden (siehe https://en.wikipedia.org/wiki/Forward_secrecy), ermöglicht der private Schlüssel von N Virginia nur die Entschlüsselung der Kommunikation mit N Virginia Service. Wenn Sie also verschiedene Zertifikate und private Schlüssel haben, ändert sich in dieser Situation Ihre Sicherheitsstufe.
Wie auch immer, mit AWS ELB und AWS CloudFront wird AWS den privaten Schlüssel kennen, auch wenn Sie sich für einen eigenen entschieden haben. Somit hängt Ihre Sicherheit nicht von Ihnen ab. Das hängt davon ab, wie AWS Ihren privaten Schlüssel sichert, und Sie können keine Informationen darüber haben: einen gemeinsamen privaten Schlüssel in verschiedenen Regionen zu haben oder weniger sicher als ein Schlüssel pro Region.
Die einzige Möglichkeit zur Verwendung von AWS-Diensten mit privaten Schlüsseln, die AWS nicht kennt, ist die Verwendung des CloudHSM AWS-Diensts oder die Anschaffung eines HSM und die Verbindung mit AWS VPC. Um einen Webdienst bei AWS zu verwenden, der diesen Dienst verwendet, müssen Sie leider einen Webserver auf einer EC2-Instanz installieren, da CloudHSM und Kunden-HSM nicht mit ELB oder CloudFront kompatibel sind.
In Ihrer Situation müssen Sie AWS vertrauen.