การสร้าง CSR และไฟล์คีย์สำหรับการรับรอง SSL นั้นมีความสำคัญหรือไม่


18

ฉันต้องสร้าง CSR สำหรับใบรับรอง SSL แบบ wildcard คำถามที่พบบ่อยบางอย่างจากผู้ให้บริการ SSL บอกว่าฉันควรสร้างไฟล์ CSR บนเครื่องที่ฉันต้องการติดตั้งใบรับรองหรือไม่ ความเข้าใจของฉันคือมันไม่สำคัญว่าฉันจะสร้าง CSR หรือไฟล์คีย์ได้ที่ไหนตราบใดที่ฉันย้ายไฟล์ไปยังตำแหน่งที่ถูกต้องในภายหลัง

ดังนั้นคำถามของฉันคือ: การสร้าง CSR และไฟล์คีย์สำหรับการรับรอง SSL นั้นมีความสำคัญหรือไม่

คำตอบ:


21

ความเข้าใจของคุณถูกต้อง ทุกสิ่งเท่าเทียมกันมันไม่สำคัญ แต่มีริ้วรอย

ข้อดีอย่างหนึ่งของการสร้างสิ่งเหล่านี้บนเซิร์ฟเวอร์ที่เป็นปัญหาคือช่วยลดโอกาสที่รหัสถูกบุกรุกระหว่างการขนส่ง ตราบใดที่คุณใช้เครื่องที่ปลอดภัยเพื่อสร้างมันและวิธีการที่ปลอดภัย (ภูมิคุ้มกันต่อการโจมตีของ MITM) เพื่อย้ายพวกมันไปยังเซิร์ฟเวอร์ อย่าลืมลบออกอย่างปลอดภัยบนระบบการสร้างเว้นแต่คุณตั้งใจจะเก็บสำเนาไว้อย่างปลอดภัยและมีความปลอดภัยตามนั้น

ข้อดีอย่างหนึ่งของการสร้างเครื่องแยก: โดยปกติจะเป็นเดสก์ท็อปของคุณ เอนโทรปีของพูลเดสก์ท็อปนั้นเกือบจะลึกกว่าเซิร์ฟเวอร์ที่ไม่ต้องดูแลเนื่องจากเดสก์ท็อปมีแหล่งการสุ่มขนาดใหญ่เชื่อมต่อผ่านสายคีย์บอร์ดและเมาส์ (เช่นคุณ!) การขาดแคลนเอนโทรปีอาจทำให้เกิดการสร้างคีย์เพื่อใช้เวลานานหรือทำให้ใช้/dev/urandomPRNG เอาต์พุตแทนขึ้นอยู่กับว่าเครื่องมือสร้างเกิดความหวาดระแวงอย่างไรและสิ่งนี้อาจนำไปสู่คีย์ที่อ่อนแอกว่า เครื่องเดสก์ท็อปมักจะไม่มีปัญหานี้

แก้ไขในภายหลัง : ตามการสนทนาที่อื่นซึ่งเชื่อมโยงที่นี่สองจุดได้รับการยก ประการแรกคุณสามารถไปสำหรับบ้านครึ่งทางโดยการสร้างเอนโทรปีบนเดสก์ทอปของคุณด้วยเช่นdd if=/dev/random bs=1k count=10 of=/tmp/entropy.datคัดลอกที่ไปยังเซิร์ฟเวอร์ระยะไกลและการให้อาหารไปยังกระบวนการผลิตที่สำคัญของคุณไม่ว่าโดยตรงหรือโดยลึกสระว่ายน้ำเอนโทรปีเซิร์ฟเวอร์ระยะไกล ฉันยังไม่พบวิธีในการทำแบบเดิมและการทำแบบหลังโดยทั่วไปต้องใช้สิทธิ์แบบพิเศษซึ่ง - หากช่องทางระหว่างคุณและเซิร์ฟเวอร์ระยะไกลไม่ปลอดภัยซึ่งค่อนข้างเป็นประเด็นของการคัดค้านทั้งหมด - ก็ไม่ปลอดภัยเช่นกัน

ประการที่สองmjg59 ที่ประเมินได้จะทำให้เกิดปัญหาเกี่ยวกับโมดูลความปลอดภัยของฮาร์ดแวร์นั่นคืออุปกรณ์ที่คุณใส่หรือภายในที่คุณสร้างไพรเวตคีย์และจากนั้นจะทำการคีย์โดยไม่ปล่อยให้กุญแจออกมา นั่นเป็นจุดที่ยอดเยี่ยม แต่อยู่นอกขอบเขตของคำถามนี้

แต่ผลลัพธ์ทั่วไปของเธรด - ที่คุณควรมีโมเดลการคุกคามที่แม่นยำและเลือกการตอบสนองของคุณอย่างเหมาะสม - เป็นสิ่งที่ดี รูปแบบการคุกคามของฉันคือช่องทางการสื่อสารของฉันมีความปลอดภัย แต่จุดสิ้นสุดของฉันอยู่ภายใต้การโจมตีที่ชาญฉลาด นั่นหมายความว่าฉันจะสร้างคู่คีย์ SSL ที่มีความแข็งแรงสูงในพื้นที่และแจกจ่ายให้ หากปรากฎว่าแบบจำลองของฉันไม่ถูกต้องและ comms ของฉันกลายเป็นช่องโหว่ฉันจะรู้ทันทีว่าสมมติว่าคีย์แพร์ SSL ของฉันทั้งหมดถูกบุกรุก หากรูปแบบการคุกคามของคุณแตกต่างกันคุณควรปรับการปฏิบัติของคุณให้เหมาะสม


ฉันไม่แน่ใจว่ารหัสความรับผิดชอบต่อสังคมที่สร้างขึ้นบนเซิร์ฟเวอร์ของฉันใน VirtualBox สามารถมีประโยชน์ของการเป็นแหล่งใหญ่ของการสุ่ม คุณมีความคิดเกี่ยวกับสิ่งนี้หรือไม่?
Lewis

@Tresdin ตามที่คำตอบของฉันบอกว่าสร้างขึ้นแบบโลคัลบนเดสก์ท็อปและคัดลอก
MadHatter

บน Linux คุณสามารถเพิ่มเอนโทรปีเพิ่มเติมไปยังพูลเอนโทรปีที่มีอยู่โดยการเขียนไปที่ / dev / random ไม่แน่ใจว่าใช้งานได้กับ * nixes อื่นหรือไม่
CVN

7

มันค่อนข้างสำคัญ

หากคุณสร้างขึ้นมาในเครื่องอื่น ๆ คีย์จะมีความเสี่ยงต่อการสร้างเครื่องและจากนั้นบนเซิร์ฟเวอร์ หากคุณใช้เครื่องที่ติดไวรัสเพื่อสร้างพวกเขา virii บางคนอาจขโมยกุญแจแม้ว่าพวกเขาจะถูกย้ายไปยังเซิร์ฟเวอร์ที่ปลอดภัย

หากคุณสร้างพวกเขาบนเซิร์ฟเวอร์ที่ปลอดภัยและเพียงแค่ย้าย CSR / รับรองไปรอบ ๆ โอกาสของบางคน / บางสิ่งบางอย่างในการรับคีย์ส่วนตัวนั้นมีขนาดเล็กลงในกรณีแรกเนื่องจากไพรเวตคีย์จะอยู่ในเครื่องเดียวเท่านั้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.