Jaki jest cel ssl-cert-snakeoil.key

62

W tej chwili zainstalowałem serwer Ubuntu 12.04.3, do którego chcę uzyskać dostęp przez ssh. Z tego powodu stworzyłem klucz prywatny, do którego przeprowadziłem się

/etc/ssl/private/

Zastanawiam się tylko, dlaczego już tam jest klucz prywatny ssl-cert-snakeoil.key. Gdzie jest używany ten klucz prywatny i czy mogę go usunąć?

ssl Nazywam się
źródło
8
Certyfikaty z podpisem własnym są określane jako certyfikaty oleju węża, ponieważ nie są podpisane przez publiczny urząd certyfikacji.

Odpowiedzi:

46

Klucz ssl-snakeoil.key to klucz tworzony przez skrypty poinstalacyjne pakietu ssl-cert. Został stworzony dla użytkownika snakeoil i nie powinien być usuwany :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Co to jest pakiet ssl-cert:

Ten pakiet umożliwia nienadzorowane instalacje pakietów, które muszą tworzyć certyfikaty SSL.

Jest to proste opakowanie dla narzędzia żądania certyfikatów OpenSSL, które zasila je prawidłowymi zmiennymi użytkownika.

Jest to więc certyfikat używany do instalowania pakietów, które muszą tworzyć certyfikaty SSL, więc system generuje jeden w locie podczas instalacji tego pakietu.

Na marginesie, ten pakiet nie jest wyłączny dla Ubuntu, ponieważ pojawia się również w Debianie.

Braiam
źródło
7
Łał! wnikliwy. Czy możesz powiedzieć, kim jest ten użytkownik snakeoil?
ludzkośćANDpeace
1
@humanityANDpeace olej z węży ...?
Braiam
@humanityANDpeace nie ma użytkownika snakeoil.
Braiam
4
:) Mam świadomość pochodzenia pracy i ogólnego znaczenia węża. W powyższej odpowiedzi mówisz, it's created for the snakeoil user and should not be deleted:dlatego myślałem, że jest jedna.
humanityANDpeace
20
Jeśli ludzie nie znają tego idiomu, „olej wężowy” oznacza w zasadzie fałszywy i nie należy mu ufać.
Collin Anderson
24

Jest to specyficzna dla serwera para kluczy publicznych i prywatnych, tworzona podczas instalacji systemu operacyjnego opartego na Debianie na serwerze (np. Ubuntu).

Jest używany w przypadkach, gdy żaden inny certyfikat SSL nie jest zainstalowany ani skonfigurowany, ale szyfrowana komunikacja jest włączona i pożądana.

Chociaż bezpiecznie szyfruje ruch, jest niepewny i dlatego nosi nazwę „snakeoil”, ponieważ brak podpisu głównego administratora oznacza, że ​​jest podatny na najprostsze ataki typu man-in-the-middle.

Administratorzy stron internetowych naprawdę muszą zmienić konfigurację usług, które odwołują się do klucza snakeoil, za pomocą odpowiednio podpisanego klucza z ich urzędu certyfikacji, takiego jak ten, który, jak mam nadzieję, używają dla HTTPS.

dyasta
źródło
4
Czy miałbyś przykład / link dotyczący rodzaju ataku typu man-in-the-middle, na który taki certyfikat jest podatny?
Alexis Wilke
5
Ponieważ certyfikatu nie można sprawdzić, DOWOLNY INNY certyfikat może zostać zaakceptowany przez klienta, chyba że wcześniej autoryzował ten konkretny certyfikat LUB jest szczególnie dokładny w sprawdzaniu jego odcisku palca. W skrócie, CA istnieją z ważnego powodu (innego niż zysk; p).
dyasta