¿Cuál es el riesgo de que alguien intercepte mi CSR y mi clave privada?

3

En el proceso de obtención de un certificado SSL, generé un CSR y la clave privada y, por algún motivo, tuve que compartirlos.

¿Qué podría hacer una persona maliciosa con esos dos archivos?

    
pregunta thesearentthedroids 27.09.2017 - 23:01
fuente

1 respuesta

5

Si lo haces correctamente, nada.

El proceso habitual para obtener un certificado TLS (anteriormente SSL) de una CA es:

  1. Genere server.privkey y server.csr (o equivalente) en su máquina. Mantenga la clave privada privada.

  2. Envíe el server.csr (solicitud de firma de certificado) a la CA para que lo firme y se convierta en un certificado.

  3. Retire el certificado que CA le devuelve e impórtelo a su servidor web junto con el server.privkey .

El archivo CSR no es sensible y no puede modificarse maliciosamente sin romper el cifrado (difícil). No necesita ser demasiado cuidadoso al compartir este archivo.

La Clave privada , por otro lado, debe ser privada . Debería permanecer en su servidor. No debes compartirlo con nadie. Nuevamente, esto es privado . Pueden suceder todo tipo de cosas malas si los chicos malos consiguen esto. Si ya lo ha compartido con alguien, le sugiero que vuelva a comenzar el proceso generando un nuevo par de llaves, un nuevo CSR y obteniendo un nuevo certificado. Esta vez, ¡no compartas la clave privada con nadie!

¿Qué hay en una clave privada?

Su clave privada es la identidad criptográfica de su servidor. Cuando un navegador se conecta a su sitio, su servidor envía el certificado (que contiene su clave pública) y realiza una prueba de que tiene la clave privada correspondiente. Los navegadores aceptan esta prueba de que está hablando con el cutefluffyanimals.com real, y no con una versión falsa. El navegador muestra el candado verde y todo está bien.

Si un tipo malo tiene una copia de su clave privada, también tiene la identidad criptográfica de su servidor y puede pretender ser usted: intercepte el tráfico que va a su servidor, vea la información que ingresó el usuario (incluidos los nombres de usuario / contraseñas) , modifique el contenido de la página, simule ser el servidor y responda directamente al navegador, inyecte su propio contenido o código o anuncios en sus páginas, etc. Literalmente pueden hacer cualquier cosa porque, criptográficamente hablando, son el servidor real . El navegador aún mostrará el candado verde porque el servidor con el que está hablando tiene la clave privada correcta.

Cualquier persona que requiera que usted comparta su clave privada claramente no entiende cómo funcionan los certificados. Patéalos en la cara.

    
respondido por el Mike Ounsworth 27.09.2017 - 23:27
fuente

Lea otras preguntas en las etiquetas