¿Debo revocar si ya no uso los certificados de Let's Encrypt antes de destruirlos?

Navega tus respuestas
89

La documentación de Let's Encrypt recomienda que cuando la clave privada correspondiente de un certificado ya no sea segura, debería revocar el certificado .

¿Pero debería hacer lo mismo si no hay indicaciones de que la clave esté comprometida, pero ya no necesita el certificado? Los certificados de Let's Encrypt caducarán automáticamente después de 90 días. ¿Es suficiente eliminar el certificado y su clave privada?

Como fondo, este es mi escenario concreto:

  • Cuando implementemos un nuevo software, creará nuevas instancias de EC2, que eventualmente reemplazarán las instancias existentes (patrón de servidor inmutable).
  • Al inicio, las nuevas instancias adquirirán un nuevo certificado de Let's Encrypt.
  • Los certificados (y sus claves privadas) nunca abandonan la instancia de EC2.

Por lo tanto, cuando se terminen las instancias antiguas, los certificados asignados a esa máquina se destruirán. En este punto, ya no podemos acceder a la clave privada.

Preguntas :

  • Desde mi entendimiento, revocar podría ser una buena práctica. Pero estrictamente hablando, no aumentará la seguridad del sistema (por supuesto, suponiendo que la clave privada no se haya comprometido). ¿Es correcto?
  • ¿Ayudará a los operadores de Let's Encrypt a revocar explícitamente los certificados no utilizados, o hará más daño? (No estoy seguro, pero la revocación podría desencadenar procesos adicionales, que podrían ser innecesarios si no hay indicios de que la clave esté en peligro).
pregunta Philipp Claßen 03.08.2017 - 12:23
fuente

4 respuestas

104

Esta es una decisión subjetiva de costo vs riesgo. No podemos hacerlo por usted, pero puedo ayudarlo a examinar los factores involucrados.

Coste

Para usted : el esfuerzo de revocar el certificado. Si tiene que hacer esto manualmente, eso es molesto, pero si puede crear una secuencia de comandos en 10 minutos y agregarlo a sus juegos de CloudFormation, ¿por qué no? Como @Hildred señala, esto también anuncia que su servidor ha sido dado de baja, lo que podría considerarse un problema de privacidad / seguridad dependiendo de lo que le importe.

A LetsEncrypt : necesitan manejar la solicitud de revocación, que no es una solicitud particularmente pesada. Cada certificado revocado agrega una línea a sus CRLs , costos de ancho de banda ligeramente más altos para transmitir los CRL y una leve penalización de rendimiento a su OCSP respondedores que necesitan buscar los CRLs. Pero ciertamente no es una carga, ya que el sistema está literalmente diseñado para esto.

Riesgo

Si un atacante descubre que terminas tus máquinas virtuales sin revocar el certificado, ¿pueden usar eso en su beneficio? Un administrador no autorizado (ya sea suyo o de Amazon) podría extraer el certificado y la clave de la máquina virtual a medida que se finaliza y usted no sería consciente de ello. ¿Es eso una amenaza o una amenaza más grande que sacarlo de un sistema en vivo? Probablemente no.

Realmente, estamos lidiando con un costo muy pequeño frente a un riesgo muy pequeño. Tu elección. Sin embargo, gracias por hacer la pregunta, ¡genial para pensar!

    
respondido por el Mike Ounsworth 03.08.2017 - 16:53
fuente
25

La revocación no es necesaria, desde un punto de vista de seguridad, si la clave privada no está comprometida.

La revocación innecesaria agregará una pequeña carga a la infraestructura de Let's Encrypt pero no mucho: enlace

    
respondido por el Tom 03.08.2017 - 12:46
fuente
17

Una posibilidad que pasaste por alto es generar una revocación pero no publicar hasta que sea necesario. Pone una pequeña carga en su infraestructura, pero oculta la eliminación de la máquina y tiene una revocación disponible si es necesario.

    
respondido por el hildred 03.08.2017 - 16:46
fuente
2

Esta es una pregunta muy subjetiva.

No hay daño en revocar el certificado. Si desea simplemente dejar que caduque a su debido tiempo en lugar de revocarlo explícitamente, realmente depende de su análisis de riesgo. Por supuesto, hay más riesgo de que el certificado se filtre si no lo revoca, pero si considera que este riesgo es aceptable en comparación con la molestia de mantenimiento, tendrá que pasar si lo revoca explícitamente cada vez, entonces puede aceptar el riesgo. y hazlo.

Si este riesgo es aceptable o no, es algo que debe evaluar por usted mismo en función de su propia infraestructura. Probablemente desee enumerar la lista de personas que tienen acceso a la clave, ya sea por ser un empleado de su empresa o el centro de datos, o por otros riesgos como el robo, etc. y evaluar los riesgos que cualquiera de estas personas podría accidentalmente o no. Fugas deliberadas de las claves. También querrá considerar la lista de servicios que se ejecutan en el sistema, evaluar sus riesgos de seguridad en el aspecto de si se puede abusar de ellos para filtrar las claves. También tendrá que evaluar para qué se están utilizando las claves y cuánto daño dañarán estas claves a la empresa. En función de estas y otras consideraciones, puede tomar una decisión informada si desea aceptar estos riesgos.

    
respondido por el Lie Ryan 03.08.2017 - 16:18
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es el cifrado de disco completo predeterminado de Ubuntu? ¿Por qué seguimos usando las teclas para arrancar autos? ¿Por qué no contraseñas?