Estoy tratando de aprender la mejor manera de implementar un servidor web y de correo electrónico seguro. Obtener certificados SSL es obligatorio, pero ¿qué sucede con las claves privadas? He visto que tiene que almacenarlos en el servidor pero, ¿implica que mi proveedor de alojamiento tendrá acceso a ellos?
Si tuviera el hardware, simplemente cifraría el disco duro, pero en esta nube / shared / VPS El mundo de los servicios no parece ser posible. ¿Hay alguna solución?
Sí, su proveedor de alojamiento es necesariamente capaz de ver su clave privada SSL, si el capricho lo lleva a hacerlo. Porque esa clave SSL es utilizada por su software que se ejecuta en sus máquinas. (Esto sigue siendo válido en el caso de una máquina virtual alojada: en la práctica, un host malicioso podría simplemente tomar una instantánea de su máquina virtual en ejecución y analizarla a su gusto, y usted no lo sabría. )
Pero tenga en cuenta que, por la misma razón, el proveedor de alojamiento puede ver todos los contenidos de su sitio, es decir, todo lo que protege SSL, por lo que la posible exposición de la clave privada no cambia sustancialmente las cosas aquí.
Si tenía su propio hardware, y el proveedor de alojamiento simplemente alquilaba el espacio, la potencia y el ancho de banda de la red, entonces podría esperar algún nivel de privacidad y seguridad contra el proveedor. El proveedor aún tendría acceso físico a su hardware (está ubicado en sus instalaciones, no en la suya), pero entrar en una máquina física requiere un poco más de esfuerzo que hacer una instantánea de VM, y, lo que es más importante, es difícil de hacer sin dejar el físico rastros Realmente depende de cuánto intente el malvado proveedor de alojamiento hacer las cosas discretamente .
Para máquinas muy sensibles (por ejemplo, una Autoridad de Certificación), puede alquilar una jaula aislada, con candados para los que tiene la llave (no el proveedor), y con cámaras de seguridad en la jaula que envían imágenes continuamente a su control remoto instalaciones. De esa manera, podría obtener una seguridad razonable de que el proveedor no está tratando de ingresar físicamente en sus máquinas. Por supuesto, este tipo de configuración tiende a ser costoso.
De cualquier manera, el proveedor podrá verlo, como cualquier otro archivo en el servidor. Solo puedes hacerle más difícil leerlo.
La única forma de crear un archivo protegido del proveedor con acceso completo al servidor donde se alojan los servicios de nube / compartido / VPS, es cifrar ese archivo. Sin embargo, después del cifrado, será inutilizable para su servidor web / de correo.
Podría usar un módulo de seguridad de hardware (HSM), con una clave no extraíble. Cuando se inicie el servidor, desbloquearía la clave con un pin a través de un canal seguro. El proveedor no verá la clave ni el pin (hay soluciones comerciales para esto).
Su servidor web sería el cliente del HSM, y el HSM haría las operaciones necesarias de firma o de descifrado de clave de sesión para él. Pero mientras el HSM está desbloqueado, su ISP aún podría suplantar su servidor web al HSM y hacerlo firmar / descifrar, y así podría personificar su servidor web hacia sus clientes.
Por lo tanto, su ISP solo podría falsificar su servidor web mientras el HSM esté en línea. Para excluir esa posibilidad, tendría que tener su propia máquina, protegida de la manipulación física y el acceso al sistema de archivos por parte del ISP, y luego, una clave privada en esa máquina es casi tan buena como un HSM.
Lea otras preguntas en las etiquetas encryption tls openssl shared-hosting