Qual é o objetivo do ssl-cert-snakeoil.key

48

Agora eu instalei o servidor Ubuntu 12.04.3 que eu quero acessar via ssh. Por essa razão, criei uma chave privada para a qual mudei para

/etc/ssl/private/

Só estou me perguntando por que já existe a chave privada ssl-cert-snakeoil.key lá. Onde esta chave privada é usada e posso deletá-la?

    
por My-Name-Is 26.12.2013 / 23:04

2 respostas

37

O ssl-snakeoil.key é uma chave criada pelos scripts de pós-instalação do pacote ssl-cert. Ele foi criado para o usuário snakeoil e não deve ser excluído :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Agora, qual é o pacote ssl-cert:

  

Este pacote permite instalações autônomas de pacotes que    precisa criar certificados SSL.

     

É um invólucro simples para o utilitário de solicitação de certificado do OpenSSL que    alimenta com as variáveis de usuário corretas.

Por isso, é um certificado usado para instalar pacotes que precisam criar certificados SSL, então o sistema gera um em tempo real com a instalação deste pacote.

Como uma nota lateral, este pacote não é exclusivo para o Ubuntu, já que ele também aparece no Debian.

    
por Braiam 26.12.2013 / 23:23
17

É um par de chaves públicas e privadas específicas do servidor, criado quando o sistema operacional Debian do servidor é instalado (como o Ubuntu).

É usado nos casos em que nenhum outro certificado SSL é instalado ou configurado, mas a comunicação criptografada é ativada e desejada.

Embora ele criptografe o tráfego com segurança, ele é inseguro e, portanto, chamado de 'serpente' porque a falta de assinatura de autoridade raiz significa que ele é vulnerável aos ataques mais simples do tipo man-in-the-middle.

Os administradores de sites realmente precisam reconfigurar os serviços que fazem referência à chave snakeoil com uma chave devidamente assinada de sua autoridade de certificação, como a que esperamos usar para HTTPS.

    
por dyasta 23.10.2015 / 16:44

Tags