Qual è lo scopo di ssl-cert-snakeoil.key

62

In questo momento ho installato il server Ubuntu 12.04.3 a cui voglio accedere tramite ssh. Per tale motivo ho creato una chiave privata in cui sono passato

/etc/ssl/private/

Mi sto solo chiedendo perché ci sia già una chiave privata ssl-cert-snakeoil.keylì dentro. Dove viene utilizzata questa chiave privata e posso eliminarla?

ssl 
Mi chiamo
fonte
8
I certificati autofirmati sono definiti certificati olio di serpente perché non sono firmati dalla CA pubblica.

Risposte:

46

Ssl-snakeoil.key è una chiave creata dagli script post-installazione del pacchetto ssl-cert. È stato creato per l'utente snakeoil e non deve essere eliminato :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Ora, qual è il pacchetto ssl-cert:

Questo pacchetto consente installazioni automatiche di pacchetti che devono creare certificati SSL.

È un semplice wrapper per l'utilità di richiesta certificati OpenSSL che lo alimenta con le variabili utente corrette.

Quindi è un certificato utilizzato per installare i pacchetti che devono creare certificati SSL, quindi il sistema genera uno al volo con l'installazione di questo pacchetto.

Come nota a margine, questo pacchetto non è esclusivo di Ubuntu, poiché appare anche in Debian.

Braiam
fonte
7
Wow! penetranti. Puoi dire cos'è questo utente di snakeoil?
umanità e
1
@humanityANDpeace olio fatto di serpenti ...?
Braiam
@humanityANDpeace non c'è nessun utente snakeoil.
Braiam
4
:) Sono a conoscenza dell'origine del lavoro e del significato generale di snakeoil. Nella risposta sopra dici it's created for the snakeoil user and should not be deleted:che è per questo che pensavo ce ne fosse uno.
umanità e
20
Se le persone non conoscono il linguaggio, "olio di serpente" significa fondamentalmente falso e non dovrebbe essere attendibile.
Collin Anderson,
24

È una coppia di chiavi pubblica e privata specifica del server creata quando viene installato il sistema operativo basato su Debian del server (come Ubuntu).

Viene utilizzato nei casi in cui nessun altro certificato SSL è installato o configurato, ma la comunicazione crittografata è abilitata e desiderata.

Mentre crittografa in modo sicuro il traffico, è insicuro e quindi chiamato 'snakeoil' perché la sua mancanza di firma dell'autorità radice significa che è vulnerabile ai più semplici attacchi man-in-the-middle.

Gli amministratori di siti Web devono davvero riconfigurare i servizi che fanno riferimento alla chiave snakeoil con una chiave correttamente firmata dalla propria CA, come quella che si spera utilizzino per HTTPS.

dyasta
fonte
4
Avresti un esempio / link riguardo al tipo di attacco man-in-the-middle a cui è soggetto un certificato?
Alexis Wilke,
5
Poiché il certificato non può essere validato, QUALSIASI ALTRO certificato potrebbe essere accettato dal cliente A MENO CHE non abbia pre-autorizzato questo particolare certificato O sono particolarmente diligenti nel controllare la sua impronta digitale. In breve, le CA esistono per una buona ragione (oltre al profitto; p).
dyasta,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.