¿Es un riesgo de seguridad permitir la inclusión en el índice del directorio .well-known / acme-challenge?

4

Para registrar un certificado SSL a través de la autoridad de Let's Encrypt, se debe entregar un archivo especial en /.well-known/acme-challenge/<token> con contenido específico. Le pido disculpas si la omití en la documentación, pero no me queda claro si este token debe permanecer secreto o si está bien que sea visible a través de un índice de directorio cuando navegue a /.well-known/acme-challenge/ en el servidor.

Si mis tokens acme-challenge han sido visibles de esta manera, ¿están comprometidos mis certificados SSL?

    
pregunta ctrueden 03.05.2017 - 23:05
fuente

3 respuestas

4

Exponer sus desafíos de ACME no es un problema de seguridad. Estos tokens únicos se le entregan para ayudar a la verificación automática de la propiedad del dominio. Deben ser únicos en ruta y contenido.

Los tokens no son secretos, solo tienen que ser lo suficientemente aleatorios para evitar que alguien obtenga certificados para dominios sobre los que uno no tiene control. Si no fuera así, uno podría encontrar un archivo en el servidor que coincida con el desafío y recibir certificados para los dominios que no posee.

  

Si mis tokens acme-challenge han sido visibles de esta manera, ¿están comprometidos mis certificados SSL?

Definitivamente son no . La emisión del certificado es un proceso completamente separado. Una vez que se verifica la propiedad del dominio, no se utilizan los desafíos de ACME.

    
respondido por el Daniel Szpisjak 02.08.2017 - 08:33
fuente
4

Solo lectura, está bien.

El punto clave de letsencrypt es que debe probar que puede escribir en el directorio.

Cuando reclamas ser propietario de un dominio para permitirle cifrar, te hacen escribir un desafío en ese directorio para demostrar que realmente tienes el control de la máquina. Leer qué desafío le dieron no ayuda a ningún atacante, ya que la forma en que nos permite cifrar la máquina es mediante la entrada del DNS.

Entonces, si alguien afirma que tiene un dominio, le permite cifrar simplemente se conectará a ese dominio y le pedirá que presente un desafío allí. Ahora bien

  1. tienen el control de esa máquina. En ese caso, pueden y deben obtener un certificado, pero para demostrar que necesitan ESCRIBIR en ese directorio.
  2. o no tienen el control de esa máquina. Entonces, ni siquiera llegan a responder esa solicitud y saber que el desafío no les ayuda.

Entonces, para enfatizar esto un poco más:

El valor del token no es secreto, solo tiene que estar "fresco". Eso significa que cuando quiera probar que es propietario del dominio, le permite crear un nuevo token para escribir en esa carpeta para que pueda demostrar que tiene el control del dominio ahora mismo .

    
respondido por el Elias 02.08.2017 - 09:10
fuente
0

No, no es un riesgo para la seguridad, pero como regla general nunca se revela lo que no es necesario. El código de desafío se utiliza para identificar su propiedad del dominio y, si está allí, el emisor del certificado sabe que el dominio lo controla.

    
respondido por el Xaqron 03.05.2017 - 23:30
fuente

Lea otras preguntas en las etiquetas