Какова цель ssl-cert-snakeoil.key


62

Прямо сейчас я установил сервер Ubuntu 12.04.3, к которому я хочу получить доступ через ssh. По этой причине я создал закрытый ключ, на который переехал

/etc/ssl/private/

Мне просто интересно, почему там уже есть закрытый ключ ssl-cert-snakeoil.key. Где используется этот закрытый ключ и можно ли его удалить?


8
Самозаверяющие сертификаты называются сертификатами змеиного масла, поскольку они не подписаны общедоступным центром сертификации.

Ответы:


46

Ssl-snakeoil.key - это ключ, созданный сценариями после установки пакета ssl-cert. Он создан для пользователя snakeoil и не должен быть удален :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Теперь, что такое пакет ssl-cert:

Этот пакет включает автоматическую установку пакетов, которые необходимы для создания сертификатов SSL.

Это простая оболочка для утилиты запроса сертификата OpenSSL, которая передает ей правильные пользовательские переменные.

Таким образом, это сертификат, используемый для установки пакетов, которые должны создавать SSL-сертификаты, поэтому система генерирует один на лету при установке этого пакета.

Как примечание, этот пакет не является эксклюзивным для Ubuntu, так как он также появляется в Debian.


7
Вау! проницательный. Можете ли вы сказать, что это за пользователь snakeoil?
человечествоANDpeace

1
@humanityANDpeace масло из змей ...?
Braiam

@humanityANDpeace нет пользователя snakeoil.
Braiam

4
:) Я знаю о происхождении работы и общем значении змеиной нефти. В ответе выше вы говорите, it's created for the snakeoil user and should not be deleted:поэтому я подумал, что он был.
человечествоANDpeace

20
Если люди не знают идиомы, «змеиное масло» в основном означает фальшивку и ей нельзя доверять.
Коллин Андерсон

24

Это специфичная для сервера пара открытых и закрытых ключей, созданная при установке серверной ОС на основе Debian (например, Ubuntu).

Он используется в тех случаях, когда никакой другой сертификат SSL не установлен или не настроен, но зашифрованная связь включена и желательна.

Несмотря на то, что он надежно шифрует трафик, он небезопасен и поэтому называется «snakeoil», поскольку отсутствие подписи корневого администратора означает, что он уязвим для самых простых атак типа «человек посередине».

Администраторам веб-сайтов действительно необходимо перенастроить службы, которые ссылаются на ключ snakeoil, с правильно подписанным ключом от своего ЦС, как тот, который, как мы надеемся, используют для HTTPS.


4
У вас есть пример / ссылка в отношении типа атаки типа «человек посередине», к которой такой сертификат склонен?
Алексис Уилк

5
Поскольку сертификат не может быть проверен, клиент может принять ЛЮБОЙ ДРУГОЙ сертификат, если только он предварительно не авторизовал этот конкретный сертификат, ИЛИ не особенно тщательно проверяет его отпечаток. Короче говоря, CA существуют по уважительной причине (кроме прибыли; p).
dyasta
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.