Question Est-ce une bonne pratique de supprimer le mot de passe d'un certificat SSL?


J'ai lu dans plusieurs blogs à présent qu'il faut supprimer les mots de passe des certificats SSL afin d'éviter les invites de mot de passe lors du redémarrage d'Apache.

Est-ce vrai et cela pose-t-il des risques de sécurité?


10
2017-11-10 20:45


origine


Si vous êtes vraiment inquiet, il existe du matériel disponible, où votre clé privée peut être stockée sur un périphérique USB et ne sera jamais récupérable. Cela ne fonctionnera pas vraiment dans un environnement hébergé cependant. - Zoredache
Je note en passant, pour éviter toute confusion, que le certificat n'est jamais crypté et qu'il ne servirait à rien de le faire; pour que la négociation SSL se termine, le certificat doit être offert en texte clair à toute personne qui le demande. Un certificat est simplement une clé publique signée par un tiers. C'est le Clé privée, la contrepartie asymétrique de la clé publique (capable de déchiffrer le trafic chiffré sur la clé publique), pouvant être stockée chiffrée et à propos de laquelle vous vous posez la question. - MadHatter


Réponses:


Oui, les invites ne seront plus envoyées au terminal lors du démarrage d'un serveur Web.

Et oui, cela pose un risque pour la sécurité car là où le certificat était crypté, il est maintenant en texte brut. Cela signifie qu'il peut être possible de voler un certificat complètement opérationnel sur la machine.

Si cela pose un risque de sécurité important pour vous, cela dépend des conséquences si cela vous arrivait et des avantages que vous en retireriez de cette façon.

S'il est plus important pour vous que les services redémarrent normalement même sans surveillance que la sécurité du système SSL dans son ensemble, la réponse est simple.

Personnellement, je trouve que conserver des copies décryptées de certificats SSL a plus d'avantages que d'inconvénients pour ma charge de travail typique, voici pourquoi;

  1. Un attaquant aurait toujours une copie du certificat même s'il était crypté. Il serait donc de votre devoir de le révoquer de toute façon.
  2. De nos jours, il est beaucoup plus facile pour un attaquant d'obtenir un certificat valide pour votre site via l'ingénierie sociale que de voler une copie de travail de celui-ci.
  3. Les certificats expirent naturellement, ce qui limite leur surface d'attaque.
  4. Les systèmes de sécurité basés sur l'hôte, tels que les autorisations traditionnelles et SELinux, offrent un moyen efficace de protéger les certificats sur la plate-forme.
  5. Un certificat n'est pas une panacée d'un système sécurisé. Il existe de nombreux autres aspects à prendre en compte, tels que les données que vous stockez, le support sur lequel vous les stockez et la valeur et / ou la nature personnelle des données.

Ce qui pourrait me faire crypter:

  1. Si vous avez utilisé le certificat pour effectuer une authentification mutuelle.
  2. C'est un certificat générique ou un certificat qui héberge plusieurs domaines (les pertes doubles, triples ou autres hôtes peuvent être utilisées pour cela)
  3. Le certificat est polyvalent d'une autre manière.
  4. L’objectif des certificats est d’assurer l’intégrité des données de grande valeur (dossiers médicaux, transactions financières, etc.).
  5. L'autre extrémité attend un degré de confiance élevé et / ou dépend de l'intégrité de votre système pour prendre des décisions opérationnelles.

En fin de compte, ne comptez pas sur les autres pour prendre des décisions en matière de sécurité. Vous devez pondérer les risques et déterminer ce qui est le mieux pour vous et votre institution en utilisant autant d'informations que possible.


22
2017-11-10 21:03





Il offre un peu plus de sécurité, mais le fait est que si quelqu'un a pénétré suffisamment dans votre système pour accéder à votre clé SSL privée, vous avez probablement de gros problèmes.

D'un point de vue pratique, voulez-vous vraiment être là chaque fois qu'il faut redémarrer Apache pour entrer un mot de passe?

Une chose que vous pouvez faire est de garder la clé sans mot de passe protégée sur votre serveur (et de la protéger via la sécurité normale du système) et de conserver la sauvegarde de la clé que vous stockez ailleurs avec un mot de passe. Donc, si quelqu'un est capable de retirer la clé d'un endroit autre que votre serveur (beaucoup plus probable, pensez qu'un ordinateur portable se fait voler avec son ordinateur de bureau), il est toujours protégé.


8
2017-11-10 20:57





Les clés utilisées pour la connexion doivent être protégées par un mot de passe.

Si vous souhaitez que les services basés sur SSL redémarrent sans intervention manuelle, vous avez deux options:

  1. N'ayez pas de mot de passe sur la clé et protégez-la afin que seuls les services qui en ont besoin puissent y accéder.
  2. Stockez le mot de passe en texte brut ou un équivalent en texte brut sur le serveur afin que les services qui en ont besoin puissent fournir le mot de passe. (Vous pouvez vous retrouver avec plusieurs copies du mot de passe dans des fichiers de configuration mal sécurisés.)

Les copies de sauvegarde de la clé doivent être protégées par un mot de passe et sécurisées comme si elles n'étaient pas protégées par un mot de passe.


0
2017-11-11 04:02