Apache SSL sertifikasını ve özel anahtarı neden ayrı dosyalarda saklamalıyım?

11

SSLCertificateFile ve SSLCertificateKeyFile yönergelerine ilişkin Apache mod_ssl belgeleri, özel bir anahtarın ve SSL sertifikasının aynı dosyada saklanmasının 'kesinlikle önerilmediğini' belirtir.

Şimdi açık bir şekilde özel anahtar dosyası güvenli tutulmalıdır, ancak durum böyle olduğu varsayılarak, bir sertifikayı aynı dosyada saklamanın belirli riskleri var mı? Bu davranışın neden desteklendiğini ve açıklama yapmadan kesinlikle cesaretinin kırıldığını merak ediyorum.

apache-2.2  ssl  web-server  mod-ssl 
Vortura
kaynak

Yanıtlar:

15

SSL Sertifika Dosyası bir kilittir.
SSL Sertifika Anahtarı Dosyası anahtarıdır.

İkisini birlikte saklamak, anahtarınızı ön kapınızdaki kilide dokundurmakla eşdeğerdir.
Saldırgan tek bir dosyayı tehlikeye atarsa, web sitenizi (sertifika ve özel anahtar) başarıyla taklit etmek için gereken her şeye sahiptir.

Bu, özellikle SSL anahtarınızda bir parolanız yoksa doğrudur (birçok web sunucusu, bir çökme durumunda otomatik olarak başlamalarına izin vermemektedir).

Dosyaları ayırarak savunduğunuz SSLCertificateFileşey, bir web istemcisinin içeriğini (herkese açık olması gereken bir şey) dökümüne neden olan bir Apache hatasıdır .
(Bildiğim kadarıyla böyle bir hata yoktur ya da hiç yoktur, ancak Apache büyük ve karmaşık bir yazılım parçasıdır. Tamamen mümkündür.)

Apache bu dosyayı boşaltıyorsa ve içerdiği tek şey SSL Sertifikası (kilit) ise sorun yoktur: Yine de sunucuya bir SSL isteği yaptığında herkes bu sertifikanın bir kopyasını alır.
Dosya anahtarı da içeriyorsa, güvenlik şansını kaçırdınız - tüm şifreleme modelinizin güvenliği ihlal edildi ve anahtarları değiştirmeniz gerekiyor.

voretaq7
kaynak
Teşekkürler, web sunucusunun kamu sertifikasıyla birlikte özel anahtarı sunmasına neden olan teorik hata da benim en iyi tahminimdi. Anahtarı ve sertifikayı aynı dosyaya koymanın, anahtarı ön kapıya bantlamaya eşdeğer olduğunu gerçekten kabul etmiyorum, ama aynı şekilde, bunu yapmak için iyi bir neden düşünemiyorum.
Vortura
1
Muhtemelen kapının anahtarını bantlamak kadar kötü değil - belki de kapıyı
çerçevenin
7

OpenSSL'nin eski sürümleri için iki ayrı dosya (genel ve özel) gerekiyordu. Diğer kripto motorlarının eski sürümleri için tek bir dosya gerekiyordu (her ikisi de aynı dosyada). Uyumluluğun "ruhunda" (diğer bir deyişle, Yönetici "tutarsızlık hakkında sızlanmak ve iki sertifika kümesini korumak zorunda), çoğu artık her ikisini de desteklemektedir.

Farklı sertifikaların farklı kapsamları olduğundan her iki sertifikayı da (anahtar zinciri) tek bir dosyada saklamak önerilmez. Bu, genel sertifikanın herkes tarafından okunabilir dosya izinlerine sahip olması ve bunun tersi için özel olan teknik bir sorundan daha tutarlı bir konudur. Genel sertifikanızı sistemlerinizde kilit altında tutmak için herhangi bir tehlike yoktur, sadece amacıyla tutarsızdır.

Chris S
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.