È un rischio per la sicurezza consentire l'elencazione dell'indice della directory .well-known / acme-challenge?

4

Per registrare un certificato SSL tramite l'autorizzazione Let's Encrypt, è necessario pubblicare un file speciale in /.well-known/acme-challenge/<token> con contenuti specifici. Mi scuso se mi sono perso nella documentazione, ma non è chiaro per me se questo token debba rimanere segreto, o se sia corretto visualizzarlo tramite un indice di directory quando si naviga su /.well-known/acme-challenge/ sul server.

Se i miei token ACME-challenge sono stati visibili in questo modo, i miei certificati SSL sono stati compromessi?

    
posta ctrueden 03.05.2017 - 23:05
fonte

3 risposte

4

L'esposizione delle sfide ACME non è un problema di sicurezza. Questi token unici ti vengono forniti per aiutare la verifica automatica della proprietà del dominio. Dovrebbero essere unici nel percorso e nei contenuti.

Dato che il tuo sito non ha un certificato quando la fase della sfida avviene, i tuoi token vengono comunque esposti tramite una connessione HTTP in chiaro.

I token non sono segreti, devono solo essere sufficientemente casuali da impedire a chiunque di ottenere certificati per domini di cui non si ha il controllo. Se non lo erano, è possibile trovare un file sul server che soddisfa la sfida e ricevere i certificati per i domini che non possiede.

If my acme-challenge tokens have been visible in this manner, are my SSL certs compromised?

Sono decisamente non . L'emissione del certificato è un processo completamente separato. Una volta verificata la proprietà del dominio, le sfide ACME non vengono utilizzate.

    
risposta data 02.08.2017 - 08:33
fonte
4

Sola lettura, va bene.

Il punto chiave con letsencrypt è che devi dimostrare di poter scrivere nella directory.

Quando rivendichi di possedere un dominio per consentire la crittografia, ti fanno scrivere una determinata sfida in quella directory per dimostrare che sei effettivamente in controllo della macchina. La lettura della sfida che ti è stata fornita non aiuta alcun utente malintenzionato perché il modo in cui consente di crittografare identifica la macchina è dalla voce DNS.

Quindi se qualcuno afferma di avere un dominio, letsencrypt si collegherà semplicemente a quel dominio e chiederà loro di presentare una sfida lì. Ora o

  1. hanno il controllo di quella macchina. In tal caso possono e devono ottenere un certificato, ma per dimostrare che hanno bisogno di scrivere in quella directory.
  2. o non hanno il controllo di quella macchina. Quindi non riescono nemmeno a rispondere a quella richiesta e sapere che la sfida non li aiuta.

Quindi per sottolineare questo un po 'di più:

Il valore del token non è segreto, deve solo essere "fresco". Ciò significa che quando vuoi dimostrare di essere il proprietario del dominio, letsencrypt ti darà un nuovo token per scrivere in quella cartella in modo che tu possa dimostrare di avere il controllo del dominio adesso .

    
risposta data 02.08.2017 - 09:10
fonte
0

No, non è un rischio per la sicurezza ma, come regola empirica, non rivela mai ciò che non è necessario. Il codice sfida viene utilizzato per identificare la proprietà del dominio e se è presente, l'emittente del certificato sa che il dominio ha il controllo su di te.

    
risposta data 03.05.2017 - 23:30
fonte

Leggi altre domande sui tag