Poprosiłem właśnie o CSR od mojego dostawcy hostingu współdzielonego w celu wygenerowania certyfikatu, który odeślę do niego w celu zainstalowania. (Sam certyfikat ma być poprawnie wygenerowany przez organizację, dla której pracuję, która może dostarczyć certyfikaty do naszego oficjalnego użytku). Firma hostingowa niezwłocznie przesłała mi CSR, ale także klucz prywatny! Dali nawet CC kogoś innego i jest w Gmailu, więc Google prawdopodobnie już połknął go w celach reklamowych.
Moim skromnym zdaniem wydaje się to straszną rzeczą. Mam zamiar im odpisać odrzucając ten i prosząc o odnowienie CSR i tym razem zachowanie klucza prywatnego - prywatnego.
Zanim zrobię z siebie głupka, chciałbym to potwierdzić klucz prywatny do certyfikatu „SSL” (TLS) nigdy nie powinien opuszczać serwera?
Pracuję w branżach związanych z bezpieczeństwem od wielu lat i byłem programistą kryptograficznym, więc czuję Trochę znam ten temat - ale wiem, że z czasem wszystko się zmienia.
Przeczytałem pokrewne pytanie: Jakie problemy wynikają z udostępniania klucza prywatnego certyfikatu SSL?
Meta aktualizacja: zdałem sobie sprawę, że napisałem kiepski format pytania dla wymiany stosów - ponieważ teraz trudno jest zaakceptować konkretną odpowiedź. Przepraszam za to - wszystkie odpowiedzi dotyczyły różnych i równie interesujących aspektów. Początkowo zastanawiałem się, jak to sformułować w tym celu, ale zrobiłem to puste.
Aktualizacja: postępowałem zgodnie z tym z gospodarzem i „przeprosili za wszelkie niedogodności”, obiecali dotrzymać przyszłe klucze prywatne są „bezpieczne” i wydały mi nowy, inny CSR. Czy jest generowany z tego samego ujawnionego klucza prywatnego, którego obecnie nie jestem pewien. Zastanawiam się teraz również, ponieważ jest to host współdzielony, czy wysłali mi klucz do całego serwera, czy też każdy klient / domena / host wirtualny otrzyma parę kluczy.
To interesująca lekcja, jak siła kryptowalut na świecie może zostać unieważniona przez prosty błąd ludzki. Kevin Mitnik przytaknąłby.
Aktualizacja 2: W odpowiedzi na odpowiedź użytkownika @Beau użyłem następujących poleceń, aby sprawdzić, czy drugi CSR został wygenerowany z innego tajnego klucza prywatnego.
openssl rsa -noout -modulus -in pk1. txt | openssl md5openssl req -noout -modulus -in csr1.txt | openssl md5openssl req -noout -modulus -in csr2.txt | openssl md5
Pierwsze dwa hashe są identyczne, trzeci jest inny. To dobra wiadomość.