Sono nuovo ai certificati SSL commerciali e vorrei sapere se un CSR che ho generato è sicuro da inviare via email?
Certo, ma non penso che l'autorità di certificazione debba ricevere i CSR via e-mail a meno che non utilizzino un meccanismo (come la firma della tua e-mail con PGP / GPG) per garantire che il CSR provenga da te (piuttosto che qualcuno che finge di essere voi).
Poiché il CSR contiene solo la tua chiave pubblica: No, non è pericoloso inviarlo via e-mail o pubblicizzarlo in altro modo. L'unica cosa che puoi fondamentalmente fare è generare certificati per quella chiave pubblica. Tuttavia, non inviare la tua chiave privata a nessuno.
Inoltre, non sono a conoscenza di alcun provider SSL commerciale che desideri ricevere la CSR via email. Sei sicuro che non ci sia un campo di inserimento del testo nella loro interfaccia web?
Bontà. No, non è sicuro inviare il CSR via e-mail. I commenti sopra relativi alla mancanza di segreti nella CSR vanno bene, ma a loro manca il punto.
Un'autorità di certificazione, firmando un CSR e quindi emettendo un certificato, afferma che il contenuto del CSR è vero. Poiché la posta elettronica è un trasporto non sicuro, non vi è alcuna garanzia di per se che la CSR ricevuta dalla CA sia la stessa inviata. Un ovvio compromesso è che l'email viene intercettata, la CSR viene cambiata in qualche modo, o sostituita, e poiché la CA non ha modo di sapere che è successo, i segni dicono che è vero quando non è ciò che il richiedente ha chiesto di essere firmato.
Ecco perché qualsiasi CA stimabile fornirà un modulo Web protetto da TLS per trasferire il CSR in modo sicuro.
L'unico caso in cui l'e-mail è accettabile è - come fa uno dei commenti sopra riportati - se l'e-mail è verificabile e il contenuto è noto essere invariato. Ciò si ottiene generalmente firmando l'e-mail (PGP, S / Mime, ecc.). Altre opzioni potrebbero essere criptare il CSR e fornire uno scambio fuori banda e sicuro del segreto di crittografia.
La CA deve essere sicura al 100% che la CSR ricevuta sia quella che hai inviato. Se c'è un modo per farlo via email, allora va bene. Non ci sono informazioni sensibili nel CSR.
È strano che un'autorità di certificazione ti chieda di inviare il tuo CSR tramite email.
In genere, ti chiedono di copiare / incollare il CSR in una textarea sul loro sito web quando ti abboni, mentre sei connesso in HTTPS.
Ora, come spiegato in Wikipedia :
The CSR contains information identifying the applicant (such as a distinguished name in the case of an X.509 certificate), and the public key chosen by the applicant.
Ciò significa che è sicuro inviarlo via email perché ciò che è importante in un'infrastruttura PKI è la chiave privata, che devi tenere per te.
Leggi altre domande sui tag certificates