通过电子邮件发送 SSL 证书是否安全?

信息安全 tls 证书 证书颁发机构
2021-08-19 20:18:30

我刚刚通过英国经销商订购了一个便宜的 Comodo PositiveSSL 证书,我很惊讶地发现以下文件以 zip 文件的形式自动通过电子邮件发送给我:

  • 根 CA 证书 - AddTrustExternalCARoot.crt
  • 中间 CA 证书 - COMODORSAAddTrustCA.crt
  • 中间 CA 证书 - COMODORSADomainValidationSecureServerCA.crt
  • 您的 PositiveSSL 证书 - domain_name.crt

此外,证书本身(最后一个文件)以文本形式添加到电子邮件末尾。

它适用于不需要太多安全措施的网站——它不处理信用卡或其他高度机密的信息。我在关联的私钥上设置了一个强密码。

如果没有私钥和密码,我是否认为这个证书是无用的?或者,考虑到电子邮件可能被视为已泄露,希望解密我的网站流量的攻击者如果拥有这些文件会更有优势吗?

我打算立即重新生成证书,但我担心 Comodo 只会“有帮助地”向我发送一个新的 zip 文件。我宁愿从经销商的 SSL 网站下载所有这些文件。

2个回答

你是对的,假设没有私钥证书是无用的,所以通过邮件发送它没有很大的安全风险,实际上是常见的做法。该证书应该是公开的,连接到您的网站也会为我提供您的证书,因此无需在那里破解您的电子邮件。

编辑

启动连接时,服务器发送包含公钥的证书。客户端将生成一个(对称)会话密钥,用于加密通信的其余部分,并使用公钥对其进行加密。现在只有拥有对应私钥的服务器才能解密这个会话密钥,并用它来解密和加密下面的数据。

这样别人是否拥有你的证书并不重要,只要他们没有属于它的私钥,他们将无法解密会话密钥,也无法冒充你的服务器.

是的,您在 zip 文件中获得的正是您网站的每个访问者每次启动 TLS 会话时所获得的 - 带有验证信息的公钥。私钥是唯一应该对未经授权的访问隐藏的东西。