背景:我们公司有一个私人认证机构。我们在我们的私有云中配置需要信任该 CA 颁发的 SSL 证书的虚拟机,即它们需要安装和信任的证书链。由于配置是完全自动化的,我们将证书链(由根证书和一个中间证书组成)的 .pem 提交到私有 Git 存储库。与往常一样,即使回购是私有的,也存在暴露的风险。
问题:如果所述证书链因任何原因无意中公开,这是否会使我们面临任何不当风险?
(我相当有信心这很好,但想检查我对这个社区的理智,并希望答案能在未来帮助其他人)。
发布私有 CA 的根证书和中间证书是否安全?
信息安全
tls
证书
证书颁发机构
2021-08-14 12:06:50
2个回答
它们被称为“公共”密钥是有原因的。:) 有数百个根 CA 证书与您的操作系统等捆绑在一起。如果您的攻击者可以分解您的公钥,那么您已经迷路了。
我对私有 CA 的唯一担忧是您是否公开了可能对攻击者有用的内部结构信息。例如,有关谁操作您的 CA 的详细信息,具有用于签名的 CA 私钥的特定服务器......
基于@David 的回答,这取决于这些证书中的内容以及您是否认为该信息是敏感信息。例如,这可能不敏感:
cn=Root CA, O=ebr, inc, C=US
但这可能是:
cn=AWS subnet 101.102.103 Issuing CA, OU=Backend Servers, O=ebr, inc, C=US
还要考虑颁发 CA 的到期日期是否是敏感信息,因为攻击者会知道所有证书都需要在该日期前后滚动。是否有 OCSP 或 CDP 条目?它的 URL 是否会泄露有关您的网络结构的信息?等等...
底线:很可能,CA 证书可以公开,但您应该在查看器中打开证书文件,并确保其中没有您宁愿保密的内容。
其它你可能感兴趣的问题