scipilot
2017-04-12 17:16:53 UTC
我剛剛從共享的Web託管提供商處請求了CSR,以生成證書,然後將其發送回給他們進行安裝。 (證書本身應由我工作的組織正確生成,該組織可以為我們提供供官方使用的證書。)託管公司及時向我發送了CSR和私鑰!他們甚至還抄送了別人,而且它在Gmail中,因此Google可能已經出於廣告目的將其攝取了。
在我的拙見中,這似乎是一件可怕的事情。我要寫信給他們,拒絕這個,並要求更新CSR,這次保留私鑰-私有。
在愚弄自己之前,我想確認一下“ SSL”(TLS)證書的私鑰永遠不應該離開服務器嗎?
我已經從事與安全相關的行業很多年了,曾經是一名加密程序員,所以我覺得我對這個主題有點了解-但我知道事情會隨著時間變化。
我已經閱讀了以下相關問題:共享SSL證書的私鑰會引起什麼問題?
元更新:我已經意識到我為Stack Exchange寫了質量很差的問題格式-因為現在很難接受特定的答案。對此表示歉意-所有答案都涵蓋了不同且同樣有趣的方面。我最初確實確實想知道如何為此目的措辭,但是卻留了空白。將來的私鑰“安全”,並向我發出了新的,不同的CSR。我目前不確定它是否是從相同的公開私鑰生成的。我現在還想知道,因為它是共享主機,所以他們是否已將整個服務器的密鑰發送給我,還是每個客戶/域/虛擬主機都獲得了密鑰對。
這是一個有趣的課程一個簡單的人為錯誤就可以使世界上的加密強度失效。凱文·米特尼克(Kevin Mitnik)會點頭。
更新2: 響應用戶@Beau的回答,我使用以下命令來驗證第二個CSR是從另一個私鑰生成的。
openssl rsa -noout -modulus -in pk1。 txt | openssl md5openssl req -noout -modulus -in csr1.txt | openssl md5openssl req -noout -modulus -in csr2.txt | openssl md5 前兩個哈希是相同的,第三個是不同的。那真是個好消息。
_“而且它在Gmail中,因此Google可能已經出於廣告目的而攝取了它。” _您意識到Google運行自己的CA,並且可以將他們喜歡的任何CA證書插入Chrome嗎?在這種情況下,Google可能是最不感興趣/最不感興趣的一方之一。
是的,我不擔心Google本身(我將生命託付給他們!),只是強調了我們的個人內容如今所經歷的額外旅程,即使顯然已經到達了目的地。
私鑰是否已加密?
@DavidSchwartz不,它沒有出現。
抱歉,我沒有對此發表評論-我的代表人數不足。但是您可以使用一些openssl命令將新的CSR與原始私鑰進行比較:https://www.sslshopper.com/certificate-key-matcher.html。如果每個的模數不同,那麼您就可以了。不過,我不確定我是否會信任供應商的安全實踐。畢竟,安全性完全與信任有關。
Beau非常有用-我用這些命令來證明它們提供的新CRS是用不同的私鑰生成的-這是個好消息,因為我也不必拒絕它。
抱歉,我認為寫觀點問題是我的錯-這個問題正在成為一份有價值的Wiki文章:)
順便說一句,sslshopper.com頁面上有一個“上傳私鑰”字段,非常(不)有趣!並強烈警告不要使用它。
在這一點上,轉向*真正了解*私鑰*性質的公司可能更有意義,恕我直言。證書發行者通過電子郵件愉快地將私鑰發送給多個收件人的*似乎*不知道它在做什麼,並且表明自己不稱職。使用[certbot](https://certbot.eff.org/)是否有問題?這就是我用於服務器的內容。
Google對@BaileyS的公司可能不感興趣,但是對擁有電子郵件服務器訪問權限的Google員工戴夫可能會感興趣。在某些情況下,Google員工會在濫用員工的Gmail帳戶之前濫用其訪問權限
@Pharap高度重視個人私人信息的價值。確實,沒有人會在乎您可能擁有的秘密,Facebook暗戀,聊天記錄以及存儲在WhatsApp備份中的可能內容。很難承認我們並不那麼有趣,而且我們大多數人只是普通的無聊。真正的價值來自海量的匯總數據,與數據集相比,您的個性化為虛無。除非您當然是普京最熱衷的青少年女友或F500首席執行官,否則我們的個性化私人數據就是不值得的。
@hlecuanda好。[這個人](http://gawker.com/5637234/gcreep-google-engineer-stalked-teens-spied-on-chats)當然是。我很高興聽到與五角大樓黑客朋友的基於gmail的通信是安全的。不過,我一定會告訴貝蒂注意的,可能有人意識到她與酒店負責人安排了哪個國家元首。