É uma boa prática remover a senha de um certificado ssl?

10

Eu li em vários blogs agora que alguém deve remover senhas de certificados SSL para evitar prompts de senha durante as reinicializações do Apache.

Isso é verdade e isso representa algum risco de segurança?

    
por giorgio79 10.11.2011 / 21:45

3 respostas

22

Sim, ele interromperá o envio dos prompts ao terminal ao iniciar um servidor da Web.

E sim, isso representa um risco de segurança porque, antes de o certificado ser criptografado, ele agora está em texto simples. Isso significa que pode ser possível roubar um certificado totalmente funcional da máquina.

Se isso representa um risco de segurança significativo para você depende de quais seriam as repercussões se isso acontecesse com você e o que você ganha ao fazer isso dessa maneira.

Se for mais importante para você que os serviços sejam reinicializados normalmente, mesmo que não atendam à segurança do sistema SSL, então é uma resposta direta.

Pessoalmente, acho que manter cópias descriptografadas de certificados SSL em geral tem mais vantagens do que desvantagens para minha carga de trabalho típica, eis o motivo;

  1. O invasor ainda teria uma cópia do certificado, mesmo se ela estivesse criptografada, de modo que seria seu dever revogá-lo de qualquer maneira.
  2. Atualmente, é muito mais fácil para um invasor obter um certificado válido para seu site por meio de engenharia social do que roubar uma cópia de trabalho de um.
  3. Certificados expiram naturalmente, tornando sua superfície de ataque limitada.
  4. Sistemas de segurança baseados em host, como permissões tradicionais e SELinux, oferecem um meio robusto de proteger certificados na plataforma.
  5. Um certificado não é tudo e um sistema seguro. Há muitos outros aspectos a serem considerados, como os dados armazenados, a mídia na qual você os armazena e o valor e / ou a natureza pessoal dos dados.

Coisas que podem me fazer criptografar:

  1. Se você usou o certificado para realizar autenticação mútua.
  2. É um certificado curinga ou um certificado que hospeda vários domínios (as perdas duplicam ou triplicam ou qualquer que seja o número de hosts que podem ser usados para isso)
  3. O certificado é multiuso de alguma outra forma.
  4. O objetivo dos certificados é garantir a integridade dos dados de alto valor (registros médicos, transações financeiras e similares).
  5. A outra extremidade espera um alto grau de confiança e / ou depende da integridade de seu sistema para tomar decisões operacionais.

Por fim, não confie nos outros para tomar decisões de segurança para você. Você precisa ponderar os riscos e determinar o que é melhor para você e sua instituição usando o máximo de informações possível.

    
por 10.11.2011 / 22:03
8

Ele oferece mais segurança, mas a realidade é que, se alguém se distanciar o suficiente do sistema para obter acesso à sua chave SSL privada, provavelmente terá problemas maiores.

De uma perspectiva prática, você realmente quer estar lá toda vez que o apache precisa ser reiniciado para colocar uma senha?

Uma coisa que você pode fazer é manter a chave sem senha protegida em seu servidor (e protegê-la por meio da segurança normal do sistema) e manter o backup da chave que você armazena em outro lugar com uma senha. Portanto, se alguém conseguir remover a chave de algum lugar que não seja o seu servidor (muito mais provavelmente, pense em alguém sendo roubado com ele na área de trabalho), ela ainda estará protegida.

    
por 10.11.2011 / 21:57
0

As chaves Cient usadas para o login devem ser protegidas por senha.

Se você deseja que os serviços baseados em SSL sejam reiniciados sem intervenção manual, você tem duas opções:

  1. Não tenha uma senha na chave e proteja-a para que somente os serviços que precisam dela possam acessá-la.
  2. Armazene a senha em texto sem formatação ou equivalente em texto simples no servidor para que os serviços que precisam dela forneçam a senha. (Você pode acabar com várias cópias da senha em arquivos de configuração mal protegidos.)

Cópias de segurança da chave devem ser protegidas por senha e protegidas como se não estivessem protegidas por senha.

    
por 11.11.2011 / 05:02