¿Es seguro publicar los certificados raíz e intermedios de una CA privada?

18

Contexto: Tenemos una entidad de certificación privada en mi empresa. Estamos aprovisionando máquinas virtuales en nuestra nube privada, que deberá confiar en los certificados SSL emitidos por esta CA, es decir, necesitarán la cadena de certificados instalada y confiable. Debido a que el aprovisionamiento está completamente automatizado, estamos comprometiendo el .pem de la cadena de certificados (que consiste en la raíz y un certificado intermedio) a un repositorio privado de Git. Como siempre, aunque el repositorio es privado, existe el riesgo de exposición.

Pregunta: Si dicha cadena de certificados se hace pública inadvertidamente por algún motivo, ¿esto nos expone a un riesgo indebido?

(Estoy bastante seguro de que esto está bien, pero me gustaría comprobar mi cordura contra esta comunidad, y espero que la respuesta ayude a otra persona en el futuro).

    
pregunta ebr 16.01.2018 - 17:00
fuente

2 respuestas

32

Hay una razón por la que se les llama claves "públicas". :) Hay cientos de certificados de CA raíz incluidos con su sistema operativo, etc. Si su atacante puede influir en su clave pública, ya perdió.

La única preocupación que tengo con una CA privada es si expone o no información sobre su estructura interna que podría ser útil para un atacante. por ejemplo, detalles sobre quién opera su CA, servidores particulares que tienen las claves privadas de CA para firmar ...

    
respondido por el David 16.01.2018 - 17:05
fuente
18

Sobre la base de @ la respuesta de David , depende de su contenido y de si considera que esa información es confidencial. . Por ejemplo, esto probablemente no sea sensible:

cn=Root CA, O=ebr, inc, C=US

pero esto podría ser:

cn=AWS subnet 101.102.103 Issuing CA, OU=Backend Servers, O=ebr, inc, C=US

También piense si la fecha de caducidad de la CA emisora es información confidencial, porque un atacante sabrá que todos los certificados se deben transferir alrededor de esa fecha. ¿Hay una entrada de OCSP o CDP? ¿Su URL filtra información sobre su estructura de red? Etc ...

Conclusión: con toda probabilidad, los certificados de CA están bien para ser públicos, pero debe abrir los archivos cert en un visor y asegurarse de que no haya nada que prefiera mantener en privado.

    
respondido por el Mike Ounsworth 16.01.2018 - 17:31
fuente

Lea otras preguntas en las etiquetas