¿Es posible bloquear una CA (autoridad de certificación) TLS específica en la red? por ejemplo, bloquear todos los certificados emitidos por letsencrypt en mi red. ¿Hay alguna IP o nombre de host para bloquear?
Respuesta1
No puede bloquear los certificados emitidos por una CA bloqueando direcciones IP o nombres de host específicos en su firewall.
Una vez que se ha emitido un certificado, ni el servicio que utiliza el certificado ni el cliente que accede a ese servicio necesitan contacto con la CA para poder utilizar el certificado para proteger las comunicaciones.
(Esa es una simplificación: por ejemplo, verificar el estado de revocación del certificado requiere contacto con la CA, pero AFAIK generalmente cuando no se puede verificar el estado de revocación, se supone que el certificado es válido).
Respuesta2
Si desea bloquear la emisión de letsencrypt (o cualquier CA) para su dominio y controla su propio DNS, publique un registro CAA dentro de su dominio.
Entonces, si desea bloquear todas las CA, puede agregar un registro como
example.com. IN CAA 0 issue ";"
Imagine que tengo un servidor con 10 vps virtuales ejecutándose en él, quiero bloquear cualquier solicitud de letsencrypt para evitar validar certificados
Si está ejecutando todos los servidores web, puede bloquear el desafío HTTP-01 ajustando su servidor web para bloquear el acceso a /.well-known/acme-challenge/la ubicación. Si tiene un proxy inverso o un filtro web para el tráfico entrante, también puede bloquear estas URL allí.