J'ai lu sur plusieurs blogs qu'il fallait supprimer les mots de passe des certificats SSL afin d'éviter les invites de mot de passe lors des redémarrages d'Apache.
Est-ce vrai et cela pose-t-il des risques de sécurité ?
Réponses
Trop de publicités?
Oui, cela empêchera les invites d'être envoyées au terminal lors du démarrage d'un serveur web.
Et oui, cela pose un risque pour la sécurité, car là où auparavant le certificat était crypté, il est maintenant en texte clair. Cela signifie qu'il pourrait être possible de voler un certificat totalement fonctionnel sur la machine.
La question de savoir si cela représente un risque important pour votre sécurité dépend des répercussions que cela pourrait avoir sur vous et de ce que vous gagnez à procéder de cette manière.
S'il est plus important pour vous que les services redémarrent gracieusement même s'ils ne sont pas surveillés que la sécurité du système SSL dans son ensemble, la réponse est simple.
Personnellement, je trouve que conserver des copies décryptées des certificats SSL présente plus d'avantages que d'inconvénients pour ma charge de travail typique, voici pourquoi ;
- Un attaquant aurait toujours une copie du certificat même s'il a été crypté, il serait donc de votre devoir de le révoquer de toute façon.
- De nos jours, il est beaucoup plus facile pour un pirate d'obtenir un certificat valide pour votre site par le biais de l'ingénierie sociale que d'en voler une copie fonctionnelle.
- Les certificats expirent naturellement, ce qui limite leur surface d'attaque.
- Les systèmes de sécurité basés sur l'hôte, tels que les permissions traditionnelles et SELinux, offrent un moyen solide de protéger les certificats sur la plate-forme.
- Un certificat n'est pas l'alpha et l'oméga d'un système sécurisé. Il y a beaucoup d'autres aspects à prendre en compte, comme les données que vous stockez, le support sur lequel vous les stockez et la valeur et/ou la nature personnelle des données.
Des choses qui pourraient me faire crypter :
- Si vous avez utilisé le certificat pour effectuer une authentification mutuelle.
- Il s'agit d'un certificat de type "wildcard" ou d'un certificat qui héberge plusieurs domaines (les pertes doubles, triples ou tout autre nombre d'hôtes peuvent être utilisées pour cela).
- Le certificat est polyvalent d'une autre manière.
- L'objectif des certificats est de garantir l'intégrité des données de grande valeur (dossiers médicaux, transactions financières, etc.).
- L'autre partie attend un degré élevé de confiance et/ou dépend de l'intégrité de votre système pour prendre des décisions opérationnelles.
En définitive, ne comptez pas sur les autres pour prendre des décisions en matière de sécurité à votre place. Vous devez évaluer les risques et déterminer ce qui est le mieux pour vous et votre institution en utilisant le plus d'informations possible.
Dangph
Points
5561
Cela apporte un peu plus de sécurité, mais la réalité est que si quelqu'un s'est suffisamment introduit dans votre système pour avoir accès à votre clé SSL privée, vous avez probablement de plus gros problèmes.
D'un point de vue pratique, voulez-vous vraiment être là chaque fois qu'apache doit être redémarré pour entrer un mot de passe ?
Une chose que vous pourriez faire est de garder la clé non protégée par mot de passe sur votre serveur (et de la protéger via la sécurité normale du système) et de garder la sauvegarde de la clé que vous stockez ailleurs avec un mot de passe. Ainsi, si quelqu'un est capable de récupérer la clé ailleurs que sur votre serveur (ce qui est beaucoup plus probable, pensez à un ordinateur portable volé avec la clé sur le bureau), elle est toujours protégée.
BillThor
Points
27096
Les clés utilisées pour la connexion doivent être protégées par un mot de passe.
Si vous voulez que les services basés sur SSL redémarrent sans intervention manuelle, vous avez deux options :
- Ne mettez pas de mot de passe sur la clé, et protégez-la de façon à ce que seuls les services qui en ont besoin puissent y accéder.
- Stockez le mot de passe en texte clair ou un équivalent en texte clair sur le serveur afin que les services qui en ont besoin puissent fournir le mot de passe. (Vous pouvez vous retrouver avec plusieurs copies du mot de passe dans des fichiers de configuration mal sécurisés).
Les copies de sauvegarde de la clé doivent être protégées par un mot de passe et sécurisées comme si elles n'étaient pas protégées par un mot de passe.
0 votes
Si vous êtes vraiment inquiet, il existe du matériel qui permet de stocker votre clé privée sur une clé USB et de ne jamais la récupérer. Toutefois, cela ne fonctionnera pas vraiment dans un environnement hébergé.
0 votes
Je note au passage, pour éviter toute confusion, que le certificat n'est jamais crypté et qu'il n'y aurait aucun intérêt à le faire ; pour que la poignée de main SSL soit complète, le certificat doit être offert en clair à toute personne qui le demande. Un certificat n'est qu'une clé publique signée par un tiers. C'est la clé privée la contrepartie asymétrique de la clé publique (qui est capable de décrypter le trafic crypté à l'aide de la clé publique), qui peut être stockée de manière cryptée et au sujet de laquelle vous posez la question.