Problemi con la distruzione della chiave privata SSL?

4

Ci sono molti post e domande su cosa fare se si perde la chiave privata per il certificato SSL o sul modo migliore per eseguire il backup. Ma non ho trovato nulla sul perché è davvero importante mantenere, specialmente se c'è il pericolo che cada nelle mani sbagliate.

Se il mio sito Web è già distribuito e il certificato SSL è già stato assegnato al servizio di hosting Web in modo che SSL funzioni e ogni pagina utilizzi HTTPS, c'è qualche ragione per mantenere la chiave privata, o anche una copia locale di SSL certificato? Qualcuno lo chiederà in futuro?

    
posta RyanQuey 28.03.2017 - 19:00
fonte

1 risposta

2

Una copia locale del certificato non fa alcuna differenza in un modo o nell'altro: chiunque conosca il tuo dominio può estrarre una copia funzionalmente identica.

La chiave privata è necessaria al tuo server, in particolare per negoziare il protocollo per le chiavi d'accordo

When Alice and Bob have a public-key infrastructure, they may digitally sign an agreed Diffie-Hellman agreed key, or exchanged Diffie-Hellman public keys. Such signed keys, sometimes signed by a certificate authority, are one of the primary mechanisms used for secure web traffic (including HTTPS, SSL or Transport Layer Security protocols)

Garantisce inoltre la riservatezza dei messaggi crittografati più in generale, utilizzando Crittografia chiave pubblica :

The encryption process of using the receivers public key is useful for preserving the confidentiality of the message as only the receiver has the matching private key to decrypt the message. Therefore, the sender of the message cannot decrypt the message once it has been encrypted using the receivers public key. However, PKE does not address the problem of non-repudiation, as the message could have been sent by anyone that has access to the receivers public key.

Potresti cancellare entrambi una volta che sono stati caricati in memoria, se hanno la certezza di rimanere lì - cioè il tuo server non subirà mai eventi inaspettati. Ciò, tuttavia, sembra una brutta scommessa da fare.

Come menzionato da @ Arminius , la chiave può essere utilizzata anche per cose diverse da TLS, come ad esempio PKI attività correlate

    
risposta data 28.03.2017 - 19:44
fonte

Leggi altre domande sui tag