Riscos de deixar o ZNC ter minha chave SSL privada

Question

Riscos de deixar o ZNC ter minha chave SSL privada

#1 resposta do (1 votos)

1

Eu tenho um único VPS rodando alguns sites e também meu segurança ZNC IRC. Eu comprei um certificado SSL wildcard para todos os meus subdomínios (isso foi bobo; teria sido muito mais barato comprar vários certificados de domínio único, mas seja o que for).

Eu tenho nginx manipulação de todos os TLS, exceto as conexões reais de IRC. Tanto quanto eu posso ver, não há maneira de obter nginx na frente do ZNC para conexões não-http / s. Então, eu tenho uma cópia da minha chave privada e certificado em um .pem que é legível pelo usuário znc que executa o ZNC.

Eu confio em que o nginx não tenha falhas reveladoras de chaves muito mais do que eu confio no ZNC. Não é que eu ache que o ZNC é nefasto, eu apenas presumo que os desenvolvedores do nginx estão pensando mais nisso.

Estou me preocupando muito com isso? Para que riscos eu estou me expondo, dando a uma conta não privilegiada acesso de leitura à minha chave privada curinga? Devo comprar um certificado separado para uso de IRC? Estou errado e nginx pode fazer proxy conexões não-http para um upstream?

irc ssl nginx

por Erin Call 18.01.2015 / 19:16

1 resposta

Tags irc ssl nginx

Por que o killer do Linux OOM foi ativado antes de usar todo o swap? Cisco ASA 5505 com sub-redes separadas e ISPs separados

score 1 · Answer 1

Talvez você possa usar algo como stud , stunnel para desdobrar o TLS na camada TCP antes de passar o tráfego para o seu ZNC upstream. Eu sugiro que você tente fazê-lo funcionar com o tráfego da Web ZNC primeiro (muitos exemplos para desdobrar HTTPS), mas o desembrulhar deve se aplicar igualmente a outros protocolos habilitados para SSL / TLS como o irc.

Dito isto, você está sendo paranóico. Se você estiver contra um invasor que comprometa seu certificado por meio de uma exploração do znc, o que eles podem fazer com ele? Serviços MITM que compartilham o mesmo certificado? Esse é o território da agência de três letras que poderia ser amplamente mitigado com US $ 10 para um único certificado de host.