Seguridad
Seguridad
Breadcrumbs

Normativa para uso de wildcards

  • ENS (Real Decreto 311/2022)

    • Requisito mínimo “Mínimo privilegio” (art. 20) y su traslación operativa [op.acc.4] en el Anexo II: limitar los privilegios (y por analogía, el alcance de credenciales/llaves) a lo estrictamente necesario. Esto es el fundamento para no aceptar certificados con ámbito excesivo. BOE

    • Protección de las comunicaciones en el Anexo II ([mp.com.2] confidencialidad y [mp.com.3] integridad y autenticidad): exige TLS bien configurado y verificación robusta de identidad (coincidencia del nombre del certificado con el servicio). BOE

  • IETF — RFC 9525 “Service Identity in TLS (obsoleta RFC 6125)”

    • Establece que los clientes validen la identidad del servidor contra los identificadores del certificado (SAN: DNS-ID/IP/SRV/URI). Recomienda pedir certificados con “tan pocos identificadores como sea necesario para identificar un único servicio”; si se atienden varios servicios, mejor múltiples certificados que uno “para todo”. También restringe el uso de comodines al etiquetado más a la izquierda. Todo ello respalda exigir FQDNs específicos por entorno/servicio y evitar comodines amplios. rfc-editor.org+1

  • NIST SP 800-52r2 (TLS)

    • Guía oficial de configuración TLS: autenticación del servidor mediante su certificado y validación de nombre en Subject Alternative Name (SAN); base para exigir que el certificado cubra exactamente el host al que te conectas. NIST Publications csrc.nist.rip

  • NIST SP 800-57 Pt.1 Rev.5 (gestión de claves)

    • Para limitar el impacto de una posible filtración, recomienda usar claves diferentes para propósitos distintos y limitar la cantidad de información/servicios protegidos por una sola clave. Un comodín *.cliente.com típicamente reutiliza la misma clave en muchos subdominios, aumentando el “blast radius”. NIST Publications

  • OWASP TLS Cheat Sheet

    • Use Correct Domain Names”: el FQDN debe estar en SAN y debe coincidir exactamente con el destino.

    • Carefully Consider the use of Wildcard Certificates”: los comodines deben usarse con mucha cautela y no para abarcar zonas con distintos niveles de confianza.

    • Client Certificates and mTLS”: cuando procede, mutual TLS para autenticación recíproca. cheatsheetseries.owasp.org

  • CA/Browser Forum — Baseline Requirements (v2.1.6)

    • Sección 3.2.2.6 Wildcard Domain Validation: regula y restringe la emisión de comodines (p. ej., prohibidos en sufijos públicos). No son exactamente nuestros casos, pero muestra que la industria ya limita y trata con especial cuidado los comodines, apoyando la postura de acotar el ámbito. CA/Browser Forum