LINUX.ORG.RU

Сертификат без пароля


0

1

Доброй ночи! Интересует такой вопрос: есть SSL сертификат, который подключен в nginx. Для того чтобы запустить nginx нужно ввести пароль сертификата, если снять пароль с сертификата, для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Троллинг и те кто относятся к таким, прошу идти лесом, ответа на вопрос не нашел в интернете.

Спасибо.


Если у тебя украдут запароленный сертификат, то чтобы им воспользоваться, злоумышленнику понадобится ввести пароль.

ansky ★★★★★
()
Ответ на: комментарий от ansky

Насколько, я понимаю, можно ключ запаролить, а не сертификат. Сертификат паролить смысла нет, ибо это открытый ключ, может быть известен всем.

А ТС-у можно сказать, что если украдут ключ без пароля, то в принципе могут осуществить man-in-the-middle, если есть возможность встать между клиентом и сабжевым сайтом.

generator ★★★
()
Ответ на: комментарий от af5

http://www.openssl.org/docs/HOWTO/keys.txt

Generating a key for the RSA algorithm is quite easy, all you have to do is the following:

openssl genrsa -des3 -out privkey.pem 2048

With this variant, you will be prompted for a protecting password. If you don't want your key to be protected by a password, remove the flag '-des3' from the command line above.

generator ★★★
()
Ответ на: комментарий от LinuxUs

Есть. Ты можешь забыть пароль, и ключ можно будет выкинуть :)

generator ★★★
()
Ответ на: комментарий от af5

Не запаролить ключ, а зашифровать контейнер (.pfx или .p12) содержащий ключи и сертификаты

Для особо разумных уточню: в пакете PKCS#12 тоже шифруется ключ. Сертификат там просто прикреплен за компанию. В открытом виде.

segfault ★★★★★
()

для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Имхо, если сломали сервер, то уже ничего не поможет. Поэтому спокойно создавай без пароля.

tazhate ★★★★★
()

Открою небольшую тайну, которая вероятно шокирует. После того, как вы вводите пароль от ключа, nginx расшифровывает его, чтобы им можно было пользоваться и загружает в память, после чего всё это время, пока nginx загружен и работает, ваш ключ храниться в памяти «без пароля» и его от туда можно вытащить.

А теперь вопрос, если у вас nginx запущен всегда, то влияет ли наличие пароля на файле с ключем?

Влияет ли на безопасность наличие замка на двери, которая всегда открыта?

anonymous
()
Ответ на: комментарий от anonymous

Далеко не каждый бот или скрипт-кун умеет вытаскивать ключи из памяти, так что аналогия с открытой дверью не уместна

af5 ★★★★★
()
Ответ на: комментарий от af5

Влияет ли на безопасность наличие замка на двери, которая всегда открыта?

Далеко не каждый бот или скрипт-кун умеет вытаскивать ключи из памяти, так что аналогия с открытой дверью не уместна

Ну да, конечно, лучше завешать дверь шторой, и предполагать что дом в безопасности.

edigaryev ★★★★★
()

если снять пароль с сертификата, для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Троллинг и те кто относятся к таким, прошу идти лесом, ответа на вопрос не нашел в интернете.

разве ответ не очевиден?

Для тех, кто в танке: да, влияет. Да, Вашим сертификатом может воспользоваться кто угодно, а не только Вы.

Какая буква Вам непонятна?

emulek
()
Ответ на: комментарий от edigaryev

и предполагать что дом в безопасности.

предполагайте, если по-другому не можете. А шторы тоже полезны, да.

af5 ★★★★★
()

Это не безопасность, а создание бессмысленных неудобств.
Всё, что можно сделать с краденым у тебя сертификатом - создать «валидную» копию твоего сайта. А чтобы юзера попали на нее, нужно еще и твои ДНСы каким-то образом подправить. Но кому и зачем нужен весь этот геморрой, если предполагается, что сайт и так уже взломан и все данные доступны?

thesis ★★★★★
()
Ответ на: комментарий от anonymous

А теперь вопрос, если у вас nginx запущен всегда, то влияет ли наличие пароля на файле с ключем? Влияет ли на безопасность наличие замка на двери, которая всегда открыта?

ты забыл о том, что эта память доступна только руту. Т.е. врагу надо сначала порутать систему, а уже потом он получит доступ к памяти.

Эта дверь ВСЕГДА закрыта, кроме разве что ремонтных работ. Если у тебя не так — ты ССЗБ.

emulek
()
Ответ на: комментарий от edigaryev

Далеко не каждый бот или скрипт-кун умеет вытаскивать ключи из памяти, так что аналогия с открытой дверью не уместна

Ну да, конечно, лучше завешать дверь шторой, и предполагать что дом в безопасности.

погоди, а где здесь «obscurity»? Ты разве что-то скрываешь? Разве ты делаешь тайну из того, что ключ запаролен? Это как дверь на твой чердак/подвал, если ты в городе живёшь. Если надо, можешь сделать дубликат ключей, сами ключи можешь одолжить у управдома. Или у соседа. Что непонятно?

А для каких-то наркоманов — это проблема. Для серьёзных врагов тоже, ибо они не могут работать под наркоманов.

emulek
()
Ответ на: комментарий от emulek

ты забыл о том, что эта память доступна только руту.

Я таки не понел, что мешает сделать сам файл доступным только руту?

anonymous
()
Ответ на: комментарий от thesis

А чтобы юзера попали на нее, нужно еще и твои ДНСы каким-то образом подправить. Но кому и зачем нужен весь этот геморрой, если предполагается, что сайт и так уже взломан и все данные доступны?

у тебя может быть сайт-магазин. В этом случае враги могут повесить свои реквизиты, и деньги твоих покупателей уйдут врагу. А ты окажешься в говне, ибо обещал товар, деньги «получил», а товар не переслал.

А для хомы васи пупкина сертификат не нужен, да. Даже без пароля.

emulek
()

С ручным вводом пароля - безопаснее, но значительно геморнее. Если пароль вводится автоматически при запуске веб-сервера, то без особой разницы, есть пароль на приватном ключе, или нету

azure ★★
()
Ответ на: комментарий от emulek

могут повесить свои реквизиты

А сертификат мой им для этого зачем?

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от emulek

погоди, а где здесь «obscurity»? Ты разве что-то скрываешь? Разве ты делаешь тайну из того, что ключ запаролен?

В моем ответе речь шла о вытаскивании ключа из памяти, а не о том, в каком виде его следует хранить на сервере.

Поскольку администратор веб-сервера выстраивает безопасность на том, что атакующий не знает (или не умеет) вытаскивать закрытый ключ из памяти, в его интересах скрыть информацию о способах провести подобную атаку.

edigaryev ★★★★★
()
Ответ на: комментарий от azure

это к делу не относится, если в твоём nginx нет дыр.

emulek
()
Ответ на: комментарий от Legioner

Запустится под рутом, прочитает файл в память и сбросит права до обычных.

дык не давай права рута никому. И сам не бери.

emulek
()
Ответ на: комментарий от edigaryev

Тебе значение слова hardending знакомо? Это уменьшение площади для атак на ПО. Шифрование ключа закрывает пусть и не большую, но всё же площадь - в случае кражи файлов, это не приведет к компроментации ключа. И да, когда подобных процедур для веб-сервиса выполнено с полсотни, даже самый настырный хакир быстро потеряет интерес к взломанному сайту.

af5 ★★★★★
()

Для того чтобы запустить nginx нужно ввести пароль сертификата, если снять пароль с сертификата, для того чтобы nginx включался без ввода пароля, влияет ли это на безопасность?

Для начала рекомендую купить учебник русского языка. А так да, можно.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ansky

Если у тебя украдут запароленный сертификат, то чтобы им воспользоваться, злоумышленнику понадобится ввести пароль.

Если у злоумышленника будет рут для чтения этого сертификата, то дамп памяти процесса (где есть расшифрованный сертификат. или будут использовать токены?) он тоже может сделать.
Хотя, учитывая грамотность ТСа, предположу, что он может выставить дефотные 755 и 777 на каталог. :) Или вообще сделать chmod -R 777 /etc/nginx при первых проблемах с правами :))

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Если у Вас хватает ума ставить 777 на папки, то у меня нет. Всем спасибо за ответы.

LinuxUs
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.