È sicuro inviare certificati SSL via email?

33

Ho appena ordinato un certificato Comodo PositiveSSL economico tramite un rivenditore nel Regno Unito, e sono rimasto piuttosto sorpreso nel constatare che i seguenti file mi sono stati inviati automaticamente via email, in un file zip:

  • Certificato CA root - AddTrustExternalCARoot.crt
  • Certificato CA intermedio - COMODORSAAddTrustCA.crt
  • Certificato CA intermedio - COMODORSADomainValidationSecureServerCA.crt
  • Il tuo certificato PositiveSSL - domain_name.crt

Inoltre il certificato stesso (l'ultimo file) viene aggiunto in forma di testo alla fine dell'e-mail.

È per un sito che non ha bisogno di molta sicurezza - non gestisce le carte di credito o altre informazioni altamente riservate. Ho impostato una passphrase strong sulla chiave privata associata.

Ho ragione nell'assumere che questo certificato sia inutile senza la chiave privata e la passphrase? Oppure, dato che la posta elettronica può essere considerata compromessa, un utente malintenzionato che desidera decrittografare il traffico del mio sito è avvantaggiato se ha questi file?

Ho intenzione di rigenerare immediatamente il certificato, ma temo che Comodo mi invierà "volentieri" un nuovo file zip. Preferisco di gran lunga scaricare tutti questi file dal sito Web SSL del rivenditore.

    
posta halfer 16.07.2015 - 14:42
fonte

2 risposte

47

Hai ragione supponendo che il certificato sia inutile senza la chiave privata, quindi inviarlo per posta non è un grosso rischio per la sicurezza ed è una pratica comune in realtà. Il certificato dovrebbe essere pubblico, la connessione al tuo sito web mi fornirà anche il tuo certificato, quindi non c'è bisogno di hackerare la tua email lì.

modifica

All'avvio della connessione il server invia il certificato che incorpora la chiave pubblica. Il client genererà una chiave di sessione (simmetrica) utilizzata per crittografare il resto della comunicazione e crittografarla con la chiave pubblica. Ora solo il server con la chiave privata corrispondente può decodificare questa chiave di sessione e utilizzarla per decrittografare e crittografare i seguenti dati.

In questo modo non importa se qualcun altro ha il tuo certificato, a patto che non abbia la chiave privata ad esso relativa, non sarà in grado di decodificare la chiave di sessione e non sarà in grado di impersonare il tuo server.

    
risposta data 16.07.2015 - 14:51
fonte
31

Sì, ciò che ottieni nel file zip è esattamente ciò che ogni visitatore del tuo sito otterrebbe ogni volta che avvia una sessione TLS: le chiavi pubbliche con le informazioni di certificazione. La chiave privata è l'unica cosa che dovrebbe essere tenuta nascosta dall'accesso non autorizzato.

    
risposta data 16.07.2015 - 14:51
fonte

Leggi altre domande sui tag