Commettere certificati https su Github ... c'è mai una buona ragione per questo?

3

Se un certificato server è pubblicato su Github, a la:

-----BEGIN CERTIFICATE-----

è necessariamente una brutta cosa? C'è mai una ragione legittima per fare questo?

Chiedo a causa di un recente ondata di attenzione Github ha ottenuto dal momento che consente agli utenti di cercare per alcune cose come .ssh/id.rsa e simili nei repository pubblici.

Inoltre, i certificati server sono coinvolti nel protocollo https , ma sinceramente ho difficoltà a determinare se sono generalmente considerati informazioni sensibili.

    
posta Droogans 10.02.2013 - 05:53
fonte

2 risposte

1

Posso pensare a un motivo legittimo facile: supponiamo che scrivo un programma per fare una versione offline del test del server SSL Labs . Una buona suite di test per quel programma includerebbe vari certificati con diversi problemi e qualche configurazione per usarli per il test. Per esempio. controlla il problema della chiave debole Debian, quindi dovresti avere un certificato con una chiave debole Debian (forse per il dominio weakkey.example.com ).

Naturalmente, i certificati di test non sono gli stessi di veri certificati firmati da una CA appropriata. (A scopo di test si usa una CA di test). Immagino che le principali CA abbiano revocato i certificati le cui chiavi private erano disponibili su github.

(Per inciso, se qualcuno sa di un deposito di certificati di prova, sentiti libero di lasciare un commento ...)

    
risposta data 10.02.2013 - 17:13
fonte
10

Se è solo un certificato non c'è problema, in quanto questi contengono solo la chiave pubblica. Il problema è se la chiave privata è pubblicizzata come nel caso ad esempio id.rsa

    
risposta data 10.02.2013 - 12:08
fonte

Leggi altre domande sui tag