Mejores prácticas para https Generación de clave privada

Navega tus respuestas
1

Estoy trabajando con una persona de seguridad que me desconcierta un poco con las prácticas que realiza. Además del problema de esta persona que insiste en eludir todas las medidas de seguridad existentes, hemos abordado el manejo de claves y certificados privados.

Así que esta es mi perspectiva de las mejores prácticas con respecto a los servidores web: cuando se generan claves privadas, es mejor generarlas donde se utilizarán y nunca moverlas a ningún otro sistema, si es posible. A partir de este punto, genere una CSR desde el servidor para obtener un certificado firmado. En este punto, la clave privada nunca está expuesta a nada que no sea el servidor que la generó originalmente, por lo tanto, no hay ninguna posibilidad de que una computadora portátil hackeada o una acción compartida pueda exponerla.

Esto tiene sentido para mí, sin embargo, esta persona de seguridad parece preferir generar la clave privada en un sistema que controla, luego transferirlo a cualquier sistema que lo necesite. Esto parece extender el riesgo al tener la clave privada en más de un lugar y mucho más trabajo sin ningún beneficio que pueda ver.

¿Me estoy perdiendo algo con esto? Aparte de la práctica común, ¿hay alguna razón por la que no veo que se haga esto?

    
pregunta Brett Littrell 25.02.2015 - 18:05
fuente

2 respuestas

2

Mientras la máquina en cuestión tenga suficiente entropía para generar claves y números aleatorios muy aleatorios, eso es totalmente correcto. La llave nunca debe salir de ese servidor. Más aún, si estuviera trabajando en una aplicación crítica, ni siquiera confiaría en esa máquina y mantendría la clave en un HSM. Podría costar una pérdida, pero mejora significativamente la seguridad.

Existe un amplio espectro de prácticas de seguridad, que van desde el mejor de los casos anteriores hasta la peor situación posible, que parece ser su caso. O su colega tiene una razón específica para hacerlo o está poniendo en riesgo la seguridad de sus aplicaciones. Inmediatamente confrontarlo / a. Si estuviera a cargo, despediría a esa persona de "seguridad" de inmediato.

    
respondido por el Stefano Sanfilippo 25.02.2015 - 18:18
fuente
1

Si está generando claves y poniéndolas en servicio de inmediato, generarlas en el servidor es generalmente algo perfectamente razonable.

Habiendo dicho eso, puedo pensar en varias razones por las que es posible que desee generar claves en una caja distinta a la que las utilizará.

  1. Es posible que desee tener una copia de respaldo de la clave para que no necesite obtener un nuevo certificado si los discos de sus servidores fallan y tiene que reconstruirlo.
  2. Si utiliza la "fijación de clave http", no podrá poner las llaves en servicio tan pronto como las genere. Debe generar una o más claves de repuesto por adelantado para que puedan publicarse en los pines de la llave. Estas llaves de repuesto deben mantenerse en un lugar seguro (idealmente fuera de línea) hasta que se necesiten.
  3. Es posible que tenga más confianza en el generador de números aleatorios en una caja física utilizada para la generación de claves que en una máquina virtual, especialmente en una máquina virtual recién puesta en cola.
  4. Es posible que desee utilizar el mismo certificado y, por lo tanto, la misma clave en varios servidores.
respondido por el Peter Green 14.11.2015 - 04:09
fuente

Lea otras preguntas en las etiquetas

Relación entre la base de datos de certificados SSL y la del sitio de CA ¿Cuál es la forma más confiable de demostrar la integridad de los archivos digitales?