Сертификат без пароля

Если у тебя украдут запароленный сертификат, то чтобы им воспользоваться, злоумышленнику понадобится ввести пароль.

Насколько, я понимаю, можно ключ запаролить, а не сертификат. Сертификат паролить смысла нет, ибо это открытый ключ, может быть известен всем.

А ТС-у можно сказать, что если украдут ключ без пароля, то в принципе могут осуществить man-in-the-middle, если есть возможность встать между клиентом и сабжевым сайтом.

Не запаролить ключ, а зашифровать контейнер (.pfx или .p12) содержащий ключи и сертификаты

Спасибо всем за ответы. Других опасностей нету, если не украдут?

http://www.openssl.org/docs/HOWTO/keys.txt

Generating a key for the RSA algorithm is quite easy, all you have to do is the following:

openssl genrsa -des3 -out privkey.pem 2048

With this variant, you will be prompted for a protecting password. If you don't want your key to be protected by a password, remove the flag '-des3' from the command line above.

Есть. Ты можешь забыть пароль, и ключ можно будет выкинуть :)

А, да, точно, ключ тоже можно

Не запаролить ключ, а зашифровать контейнер (.pfx или .p12) содержащий ключи и сертификаты

Для особо разумных уточню: в пакете PKCS#12 тоже шифруется ключ. Сертификат там просто прикреплен за компанию. В открытом виде.

для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Имхо, если сломали сервер, то уже ничего не поможет. Поэтому спокойно создавай без пароля.

Открою небольшую тайну, которая вероятно шокирует. После того, как вы вводите пароль от ключа, nginx расшифровывает его, чтобы им можно было пользоваться и загружает в память, после чего всё это время, пока nginx загружен и работает, ваш ключ храниться в памяти «без пароля» и его от туда можно вытащить.

А теперь вопрос, если у вас nginx запущен всегда, то влияет ли наличие пароля на файле с ключем?

Влияет ли на безопасность наличие замка на двери, которая всегда открыта?

Далеко не каждый бот или скрипт-кун умеет вытаскивать ключи из памяти, так что аналогия с открытой дверью не уместна

Влияет ли на безопасность наличие замка на двери, которая всегда открыта?

Далеко не каждый бот или скрипт-кун умеет вытаскивать ключи из памяти, так что аналогия с открытой дверью не уместна

Ну да, конечно, лучше завешать дверь шторой, и предполагать что дом в безопасности.

если снять пароль с сертификата, для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Троллинг и те кто относятся к таким, прошу идти лесом, ответа на вопрос не нашел в интернете.

разве ответ не очевиден?

Для тех, кто в танке: да, влияет. Да, Вашим сертификатом может воспользоваться кто угодно, а не только Вы.

Какая буква Вам непонятна?

и предполагать что дом в безопасности.

предполагайте, если по-другому не можете. А шторы тоже полезны, да.

Это не безопасность, а создание бессмысленных неудобств.
Всё, что можно сделать с краденым у тебя сертификатом - создать «валидную» копию твоего сайта. А чтобы юзера попали на нее, нужно еще и твои ДНСы каким-то образом подправить. Но кому и зачем нужен весь этот геморрой, если предполагается, что сайт и так уже взломан и все данные доступны?

А теперь вопрос, если у вас nginx запущен всегда, то влияет ли наличие пароля на файле с ключем? Влияет ли на безопасность наличие замка на двери, которая всегда открыта?

ты забыл о том, что эта память доступна только руту. Т.е. врагу надо сначала порутать систему, а уже потом он получит доступ к памяти.

Эта дверь ВСЕГДА закрыта, кроме разве что ремонтных работ. Если у тебя не так — ты ССЗБ.

Далеко не каждый бот или скрипт-кун умеет вытаскивать ключи из памяти, так что аналогия с открытой дверью не уместна

Ну да, конечно, лучше завешать дверь шторой, и предполагать что дом в безопасности.

погоди, а где здесь «obscurity»? Ты разве что-то скрываешь? Разве ты делаешь тайну из того, что ключ запаролен? Это как дверь на твой чердак/подвал, если ты в городе живёшь. Если надо, можешь сделать дубликат ключей, сами ключи можешь одолжить у управдома. Или у соседа. Что непонятно?

А для каких-то наркоманов — это проблема. Для серьёзных врагов тоже, ибо они не могут работать под наркоманов.

ты забыл о том, что эта память доступна только руту.

Я таки не понел, что мешает сделать сам файл доступным только руту?

А чтобы юзера попали на нее, нужно еще и твои ДНСы каким-то образом подправить. Но кому и зачем нужен весь этот геморрой, если предполагается, что сайт и так уже взломан и все данные доступны?

у тебя может быть сайт-магазин. В этом случае враги могут повесить свои реквизиты, и деньги твоих покупателей уйдут врагу. А ты окажешься в говне, ибо обещал товар, деньги «получил», а товар не переслал.

А для хомы васи пупкина сертификат не нужен, да. Даже без пароля.

Я таки не понел, что мешает сделать сам файл доступным только руту?

а как его nginx проверит?

С ручным вводом пароля - безопаснее, но значительно геморнее. Если пароль вводится автоматически при запуске веб-сервера, то без особой разницы, есть пароль на приватном ключе, или нету

А как nginx на 80 порт вешается?

Запустится под рутом, прочитает файл в память и сбросит права до обычных.

могут повесить свои реквизиты

А сертификат мой им для этого зачем?

погоди, а где здесь «obscurity»? Ты разве что-то скрываешь? Разве ты делаешь тайну из того, что ключ запаролен?

В моем ответе речь шла о вытаскивании ключа из памяти, а не о том, в каком виде его следует хранить на сервере.

Поскольку администратор веб-сервера выстраивает безопасность на том, что атакующий не знает (или не умеет) вытаскивать закрытый ключ из памяти, в его интересах скрыть информацию о способах провести подобную атаку.

это к делу не относится, если в твоём nginx нет дыр.

Запустится под рутом, прочитает файл в память и сбросит права до обычных.

дык не давай права рута никому. И сам не бери.

Тебе значение слова hardending знакомо? Это уменьшение площади для атак на ПО. Шифрование ключа закрывает пусть и не большую, но всё же площадь - в случае кражи файлов, это не приведет к компроментации ключа. И да, когда подобных процедур для веб-сервиса выполнено с полсотни, даже самый настырный хакир быстро потеряет интерес к взломанному сайту.

Для того чтобы запустить nginx нужно ввести пароль сертификата, если снять пароль с сертификата, для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Для начала рекомендую купить учебник русского языка. А так да, можно.

Если у тебя украдут запароленный сертификат, то чтобы им воспользоваться, злоумышленнику понадобится ввести пароль.

Если у злоумышленника будет рут для чтения этого сертификата, то дамп памяти процесса (где есть расшифрованный сертификат. или будут использовать токены?) он тоже может сделать.
Хотя, учитывая грамотность ТСа, предположу, что он может выставить дефотные 755 и 777 на каталог. :) Или вообще сделать chmod -R 777 /etc/nginx при первых проблемах с правами :))

Если у Вас хватает ума ставить 777 на папки, то у меня нет. Всем спасибо за ответы.