¿Los servicios de contenedor de Encrypt están seguros?

3

Hay una serie de portales basados en web que pretenden facilitar la instalación de certificados SSL gratuitos para usuarios no técnicos (ZeroSsl, SSLforFree). A falta de un término mejor, estoy llamando a estos servicios de envoltura.

Como usuario relativamente no técnico, mi pregunta es si estos servicios de envoltura son inseguros, en la medida en que la CSR privada podría estar expuesta a un tercero.

    
pregunta plntxt 02.10.2018 - 11:47
fuente

2 respuestas

3

Debe asegurarse de mantener su clave privada privada. Es tan simple como eso.

Una CSR (solicitud de firma certifcate) no no contiene su clave privada.

Los servicios como los que usted menciona con frecuencia ofrecen dos modos de operación:

  • Puede cargar una CSR y firmarán el certificado que figura en el mismo o
  • Pueden generar el CSR por ti

Mientras que el último (generan el CSR para usted) generalmente se considera una característica conveniente, ya que no tiene que mantener las herramientas adecuadas para crear un CSR en su propia computadora, en la práctica significa que generarán un clave privada para usted, lo que al mismo tiempo significa que podrían guardar fácilmente una copia de su clave privada.

Y cualquier persona que esté en posesión de su clave privada puede emitir certificados adicionales con su nombre o revocar sus certificados.

Lo que significa en pocas palabras: siempre que se asegure de que su clave privada nunca abandone su máquina (es decir, si crea el CSR localmente en su máquina y lo descarga) puede usar cualquiera de esos servicios sin preocupaciones.

Si les dejas que creen la clave privada para ti, debes confiar en que no causarán ningún daño con ella.

    
respondido por el TorstenS 02.10.2018 - 16:02
fuente
0

La respuesta de @ TorstenS es correcta pero creo que está incompleta. Escribí una publicación en enlace sobre ese tema. El resumen es:

  • Es más seguro generar el CSR (o podrían robar la clave privada que generan para el certificado)
  • Todos estos servicios generan una cuenta ACME para usted, por lo que generan la clave privada de esa cuenta ACME. Eso significa que aún pueden revocar su certificado o emitir uno nuevo (con la clave privada de su elección) siempre que el desafío sea válido (30 días si lo recuerdo correctamente)

Por lo tanto, para utilizar estos servicios, necesita confiar en la persona / empresa que lo respalda. Y algunos de estos servicios tienen prácticas de seguridad realmente deficientes.

Y, por supuesto, con estos servicios, no puede automatizar.

    
respondido por el Tom 10.10.2018 - 11:48
fuente

Lea otras preguntas en las etiquetas