Яке призначення ssl-cert-snakeoil.key

62

Зараз я встановив сервер ubuntu 12.04.3, до якого хочу отримати доступ через ssh. З цієї причини я створив приватний ключ, до якого я перейшов

/etc/ssl/private/

Мені просто цікаво, чому там уже є приватний ключ ssl-cert-snakeoil.key. Де використовується цей приватний ключ і чи можна його видалити?

ssl 
Мене звати
джерело
8
Самопідписані сертифікати називаються сертифікатами на зміїне масло, оскільки вони не підписуються державними органами влади.

Відповіді:

46

Ssl-snakeoil.key - це ключ, створений скриптами після встановлення пакета ssl-cert. Він створений для користувача зміїного майна і його не слід видаляти :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Тепер, що таке пакет ssl-cert:

Цей пакет дозволяє встановлювати без нагляду пакети, для яких потрібно створити сертифікати SSL.

Це проста оболонка для утиліти запиту сертифікатів OpenSSL, яка подає її з правильними змінними користувачами.

Таким чином, це сертифікат, який використовується для встановлення пакетів, для яких потрібно створити сертифікати SSL, тому система генерує один на ходу при встановленні цього пакету.

Як бічна примітка, цей пакет не є ексклюзивним для Ubuntu, оскільки він також з'являється в Debian.

Браям
джерело
7
Оце Так! проникливий. Чи можете ви сказати, що це за зміїний користувач?
humanityANDpeace
1
@humanityANDолійне масло зі змій ...?
Брайам
@humanityANDpeace немає користувача зміїного ґатунку.
Брайам
4
:) Я знаю походження роботи та загальне значення зміїного ґрунту. У відповіді вище ви говорите, it's created for the snakeoil user and should not be deleted:саме тому я думав, що існує такий.
humanityANDpeace
20
Якщо люди не знають ідіоми, "зміїна олія" в основному означає підробку, і їй не слід довіряти.
Колін Андерсон
24

Це специфічна для сервера пара відкритих та приватних ключів, створена при встановленні ОС на сервері Debian (наприклад, Ubuntu).

Він використовується в тих випадках, коли жоден інший сертифікат SSL не встановлений або налаштований, але зашифрований зв’язок увімкнено та бажано.

У той час як він надійно шифрує трафік, він є незахищеним і тому його називають "snakeoil", оскільки його відсутність підпису кореневого авторитету означає, що він вразливий до найпростіших атак "людина-в-середині".

Адміністраторам веб-сайтів дійсно потрібно перенастроїти служби, які посилаються на ключ зміїного коду з правильно підписаним ключем від їх CA, як той, який вони, сподіваємося, використовують для HTTPS.

діаста
джерело
4
Чи є у вас приклад / посилання стосовно типу атаки "людина середнього", до якої такий сертифікат схильний?
Алексіс Вілке
5
Оскільки сертифікат не може бути підтверджений, Клієнт може приймати будь-які інші сертифікати, ВКЛЮЧЕНО, що він попередньо санкціонував цей конкретний сертифікат АБО особливо ретельний у перевірці його відбитків пальців. Коротше кажучи, ЦС існують з вагомих причин (крім прибутку; p).
діаста
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.