¿Es seguro enviar certificados SSL por correo electrónico?

Navega tus respuestas
33

Acabo de pedir un certificado Comodo PositiveSSL barato a través de un distribuidor en el Reino Unido, y me sorprendió descubrir que los siguientes archivos me fueron enviados por correo electrónico automáticamente, en un archivo zip:

  • Certificado de CA raíz: AddTrustExternalCARoot.crt
  • Certificado de CA intermedio: COMODORSAAddTrustCA.crt
  • Certificado de CA intermedio: COMODORSADomainValidationSecureServerCA.crt
  • Su certificado PositiveSSL - nombre_dominio.crt

Además, el propio certificado (el último archivo) se agrega en forma de texto al final del correo electrónico.

Es para un sitio que no necesita mucha seguridad, no maneja tarjetas de crédito u otra información altamente confidencial. Configuré una contraseña segura en la clave privada asociada.

¿Tengo razón al suponer que este certificado es inútil sin la clave privada y la contraseña? O, dado que el correo electrónico se puede considerar comprometido, ¿sería una ventaja si un atacante que desea descifrar el tráfico de mi sitio tenga estos archivos?

Tengo la intención de volver a generar el certificado de inmediato, pero me preocupa que Comodo simplemente me "envíe" un nuevo archivo zip. Preferiría descargar todos estos archivos desde el sitio web SSL del revendedor.

    
pregunta halfer 16.07.2015 - 14:42
fuente

2 respuestas

47

Tiene razón al suponer que el certificado es inútil sin la clave privada, por lo que enviarlo por correo no representa un gran riesgo para la seguridad y, en realidad, es una práctica común. Se supone que el certificado es público, la conexión a su sitio web también me proporcionará su certificado, por lo que no es necesario que piratee su correo electrónico allí.

edit

Al iniciar la conexión, el servidor envía el certificado que incorpora la clave pública. El cliente generará una clave de sesión (simétrica) utilizada para cifrar el resto de la comunicación y la cifrará con la clave pública. Ahora solo el servidor con la clave privada correspondiente puede descifrar esta clave de sesión y usarla para descifrar y cifrar los siguientes datos.

De esta manera, no importa si alguien más tiene su certificado, siempre que no tengan la clave privada que le pertenece, no podrán descifrar la clave de sesión y no podrán hacerse pasar por su servidor.

    
respondido por el BadSkillz 16.07.2015 - 14:51
fuente
31

Sí, lo que está obteniendo en el archivo zip es exactamente lo que obtendría cada visitante de su sitio cada vez que inician una sesión TLS: las claves públicas con información de certificación. La clave privada es lo único que debe mantenerse oculto para el acceso no autorizado.

    
respondido por el mricon 16.07.2015 - 14:51
fuente

Lea otras preguntas en las etiquetas

¿Qué significa "función hash interna"? ¿Cómo saber si el firmware está robando mi información?