È sicuro pubblicare certificati radice e intermedi di una CA privata?

Naviga le tue risposte
18

Contesto: abbiamo un'autorità di certificazione privata nella mia azienda. Stiamo provvedendo al provisioning delle VM nel nostro cloud privato che avrà bisogno di affidarsi ai certificati SSL rilasciati da questa CA, cioè avranno bisogno della catena di certificati installata e affidabile. Dal momento che il provisioning è completamente automatizzato, stiamo commettendo il .pem della catena di certificati (composto da Root e un certificato intermedio) in un repository Git privato. Come sempre, anche se il repository è privato, esiste il rischio dell'esposizione.

Domanda: se la catena di certificati viene inavvertitamente resa pubblica per qualsiasi motivo, questo ci espone a rischi eccessivi?

(Sono abbastanza fiducioso che questo va bene, ma vorrei controllare la mia sanità mentale contro questa comunità, e spero che la risposta aiuti qualcun altro in futuro).

    
posta ebr 16.01.2018 - 17:00
fonte

2 risposte

32

C'è una ragione per cui si chiamano chiavi "pubbliche". :) Esistono centinaia di certificati di CA root in bundle con il tuo sistema operativo, ecc. Se il tuo attaccante può calcolare la tua chiave pubblica, hai già perso.

Le uniche preoccupazioni che avrei con una CA privata sono se esporre o meno informazioni sulla struttura interna che potrebbero essere utili a un utente malintenzionato. ad es. dettagli su chi gestisce la tua CA, server particolari con le chiavi private della CA per la firma ...

    
risposta data 16.01.2018 - 17:05
fonte
18

Basandosi su @ David's answer , dipende da cosa si trova in quei certificati e se consideri che le informazioni siano sensibili . Ad esempio, questo probabilmente non è sensibile: 

cn=Root CA, O=ebr, inc, C=US

ma potrebbe essere: 

cn=AWS subnet 101.102.103 Issuing CA, OU=Backend Servers, O=ebr, inc, C=US

Pensa anche se la data di scadenza della CA di emissione è informazione sensibile, perché un utente malintenzionato saprà che tutti i certificati devono essere sottoposti a rotazione intorno a quella data. C'è una voce OCSP o CDP? Il suo URL perde informazioni sulla tua struttura di rete? Ecc ...

Conclusione: con ogni probabilità, i certificati CA vanno bene per essere pubblici, ma devi aprire i file cert in un visualizzatore e assicurarti che non ci sia nulla che preferiresti mantenere privato.

    
risposta data 16.01.2018 - 17:31
fonte

Leggi altre domande sui tag

Voice Biometrics per l'autenticazione finanziaria A che punto del loro impiego dovrebbero essere spiegate le politiche di sicurezza a un dipendente?