I servizi wrapper Encrypt Let sono sicuri?

3

Esistono numerosi portali basati sul Web che intendono rendere l'installazione di certificati SSL gratuiti di facile utilizzo per utenti non tecnici (ZeroSsl, SSLforFree). Per mancanza di un termine migliore, sto chiamando questi servizi wrapper.

Come utente relativamente non tecnico, la mia domanda è che questi servizi wrapper sono insicuri, in quanto la CSR privata potrebbe essere esposta a una terza parte?

    
posta plntxt 02.10.2018 - 11:47
fonte

2 risposte

3

Devi assicurarti di mantenere privata la tua chiave privata. È così semplice.

Una CSR (richiesta di certificazione del certificato) non contiene la tua chiave privata.

Servizi come quelli che menzioni spesso offrono due modalità di funzionamento:

  • Puoi caricare un CSR e firmeranno il certificato in esso contenuto o
  • Possono generare il CSR per te

Mentre quest'ultimo (che generano il CSR per te) è solitamente inteso come caratteristica di convenienza in quanto non devi mantenere gli strumenti adeguati per realizzare una CSR sul tuo computer, significa in pratica che genereranno un CSR. chiave privata per te, che allo stesso tempo significa che potrebbero facilmente conservare una copia della tua chiave privata.

E chiunque sia in possesso della tua chiave privata potrebbe emettere certificati aggiuntivi con il tuo nome o revocare i certificati.

Che significa in parole povere: finché ti assicuri che la tua chiave privata non lasci mai la tua macchina (ad esempio, crei il CSR localmente sul tuo computer e lo uplopad) puoi utilizzare uno qualsiasi di questi servizi senza preoccupazioni.

Se lo lasci a loro per creare la chiave privata per te, devi fidarti di loro che non causeranno alcun danno con esso.

    
risposta data 02.10.2018 - 16:02
fonte
0

@ La risposta di TorstenS è corretta ma penso incompleta. Ho scritto un post su link su questo argomento. Il riassunto è:

  • È più sicuro generare te stesso il CSR (altrimenti potrebbero rubare la chiave privata che generano per te per il certificato)
  • Tutti questi servizi generano un account ACME per te, quindi generano la chiave privata dell'account ACME. Ciò significa che possono ancora revocare il certificato o emetterne uno nuovo (con la chiave privata di loro scelta) finché la richiesta è valida (30 giorni se ricordo correttamente)

Quindi per utilizzare questi servizi hai bisogno di fidarti della persona / azienda dietro di esso. E alcuni di questi servizi hanno pratiche di sicurezza davvero scarse.

E, naturalmente, con questi servizi, non puoi automatizzare.

    
risposta data 10.10.2018 - 11:48
fonte

Leggi altre domande sui tag