Mục đích của ssl-cert-snoil.key là gì

62

Ngay bây giờ tôi đã cài đặt máy chủ Ubuntu 12.04.3 mà tôi muốn truy cập thông qua ssh. Vì lý do đó, tôi đã tạo một khóa riêng mà tôi đã chuyển đến

/etc/ssl/private/

Tôi chỉ tự hỏi tại sao đã có khóa riêng ssl-cert-snakeoil.keytrong đó. Khóa riêng này được sử dụng ở đâu và tôi có thể xóa nó không?

ssl 
Tên tôi là
nguồn
8
Chứng chỉ tự ký được gọi là chứng chỉ dầu rắn vì những chứng chỉ này không được ký bởi CA.

Câu trả lời:

46

Ssl-Snakeoil.key là một khóa được tạo bởi các tập lệnh ssl-cert gói cài đặt sau. Nó được tạo cho người dùng snoil và không nên xóa :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Bây giờ, gói ssl-cert là gì:

Gói này cho phép cài đặt các gói không cần giám sát cần tạo chứng chỉ SSL.

Nó là một trình bao bọc đơn giản cho tiện ích yêu cầu chứng chỉ của OpenSSL cung cấp cho nó các biến người dùng chính xác.

Vì vậy, nó là chứng chỉ được sử dụng để cài đặt các gói cần tạo chứng chỉ SSL, vì vậy hệ thống sẽ tạo một chứng chỉ khi cài đặt gói này.

Một lưu ý phụ, gói này không dành riêng cho Ubuntu, vì nó cũng xuất hiện trong Debian.

Bà mẹ
nguồn
7
Ồ sâu sắc. Bạn có thể cho biết người dùng rắn này là gì không?
nhân
1
@humanityANDpeace dầu làm từ rắn ...?
Braiam
@humanityANDpeace không có người dùng snoil.
Braiam
4
:) Tôi nhận thức được nguồn gốc công việc và ý nghĩa chung của rắn. Trong câu trả lời ở trên, bạn nói it's created for the snakeoil user and should not be deleted:đó là lý do tại sao tôi nghĩ rằng có một.
nhân
20
Nếu mọi người không biết thành ngữ, "dầu rắn" về cơ bản có nghĩa là giả và không đáng tin cậy.
Collin Anderson
24

Đó là cặp khóa công khai và khóa riêng dành cho máy chủ được tạo khi HĐH dựa trên Debian của máy chủ được cài đặt (như Ubuntu).

Nó được sử dụng trong trường hợp không có chứng chỉ SSL nào khác được cài đặt hoặc định cấu hình, nhưng giao tiếp được mã hóa được kích hoạt và mong muốn.

Mặc dù nó mã hóa lưu lượng truy cập một cách an toàn, nhưng nó không an toàn và do đó được đặt tên là 'rắn' vì nó không có chữ ký của cơ quan gốc có nghĩa là nó dễ bị tấn công bởi những kẻ tấn công trung gian đơn giản nhất.

Quản trị viên trang web thực sự cần phải cấu hình lại các dịch vụ tham chiếu khóa rắn với khóa được ký chính xác từ CA của họ, giống như dịch vụ mà họ hy vọng sử dụng cho HTTPS.

dyasta
nguồn
4
Bạn có thể có một ví dụ / liên kết liên quan đến loại tấn công trung gian mà một chứng chỉ như vậy có xu hướng không?
Alexis Wilke
5
Vì chứng chỉ không thể được xác thực, nên BẤT K cert chứng chỉ KHÁC có thể được chấp nhận bởi khách hàng KHÔNG GIỚI HẠN họ đã ủy quyền trước chứng chỉ cụ thể này HOẶC đặc biệt siêng năng trong việc kiểm tra dấu vân tay của nó. Nói tóm lại, các CA tồn tại vì một lý do chính đáng (ngoài lợi nhuận; p).
dyasta
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.