Soy nuevo en los certificados SSL comerciales y me gustaría saber si un CSR que genero es seguro de enviar por correo electrónico.
Claro, pero no creo que la autoridad de certificación deba recibir las CSR por correo electrónico a menos que estén empleando un mecanismo (como firmar su correo electrónico con PGP / GPG) para asegurarse de que la CSR proviene de usted (en lugar de alguien que pretende ser usted).
Como la CSR solo contiene su clave pública: No, no es peligroso enviarla por correo electrónico o publicitarla de otra manera. Básicamente, lo único que puede hacer con esto es generar certificados para esa clave pública. Sin embargo, no envíe su clave privada a nadie.
Además, no conozco ningún proveedor comercial de SSL que desee recibir el CSR por correo electrónico. ¿Está seguro de que no hay algún campo de entrada de texto en su interfaz web?
bondad. No, no es seguro enviar el CSR por correo electrónico. Los comentarios anteriores sobre la falta de secretos en la RSE están bien, pero no entienden nada.
Una autoridad de certificación, al firmar un CSR y, por lo tanto, emitir un certificado, está indicando que el contenido del CSR es verdadero. Como el correo electrónico es un transporte inseguro, no hay ninguna garantía de que la CSR recibida por la CA sea la misma que la enviada. Un compromiso obvio es que el correo electrónico se intercepta, la CSR se cambia de alguna manera, o se reemplaza, y como la CA no tiene forma de saber que ha ocurrido, algo indica que es verdad cuando no es lo que el solicitante solicitó ser. firmado.
Es por eso que cualquier CA acreditada proporcionará un formulario web protegido por TLS para transferir el CSR de forma segura.
El único caso en el que el correo electrónico es aceptable es, como se menciona en uno de los comentarios anteriores, si el correo electrónico es verificable y se sabe que el contenido no ha cambiado. Esto se logra generalmente mediante la firma del correo electrónico (PGP, S / Mime, etc.). Otras opciones podrían ser cifrar la CSR y proporcionar un intercambio seguro y fuera de banda del secreto de cifrado.
La CA debe estar 100% segura de que la CSR recibida es la que usted envió. Si hay alguna forma de hacerlo por correo electrónico, entonces está bien. No hay información confidencial en la CSR.
Es extraño que una autoridad de certificación le solicite que envíe su CSR por correo electrónico.
En general, le piden que copie / pegue la CSR en un área de texto en su sitio web cuando se suscriba, mientras está conectado en HTTPS.
Ahora, como se explica en Wikipedia :
La CSR contiene información que identifica al solicitante (como un nombre distinguido en el caso de un certificado X.509) y la clave pública elegida por el solicitante.
Eso significa que es seguro enviarlo por correo electrónico porque lo importante en una infraestructura PKI es la clave privada, que debe guardar para usted mismo.
Lea otras preguntas en las etiquetas certificates