V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
busier
V2EX  ›  信息安全

有多少人意识到,当给自己网站申请 TLS/SSL 证书的时候,证书服务商不应该掌握你的私钥!

  •  
  •   busier · 125 天前 · 1948 次点击
    这是一个创建于 125 天前的主题,其中的信息可能已经有所发展或是发生改变。
    国内很多 TLS/SSL 证书服务商,都是服务商自己又生成私钥,又生成公钥证书,然后让你下载。

    美其名曰操作简便!

    而正规 TLS/SSL 证书生成流程,早在 Win2000 Server 时代自带的“证书”服务就演示清楚了

    当时在 Win2000 中,是由 IE 浏览器(需要 ActiveX 控件)在浏览器中本地生成证书私钥和 CSR ,然后 IE 将 CSR 提交到“证书”服务,服务端颁发证书后,再由 IE 下载回来并与本地私钥合并。最终用户可以得到可导出的 p12 文件。

    自始至终“证书”服务都没有接触过用户私钥匙。

    而今很多用户对某些证书服务商掌握客户证书私钥默认觉得应该就是这样,不免有些感叹!


    另外说下 acme.sh 这点还是做的不错的,它就是本地生成私钥,通过 CSR 提交给服务商的,服务商是不掌握用户私钥的。
    12 条回复
    esee
        1
    esee  
       125 天前 via Android
    你担心的问题是不是,证书服务商拥有你的私钥的话,要是想做恶可能会把私钥给别人这样?
    MooRider
        2
    MooRider  
       125 天前
    @esee 如果你的服务器也是在他那里购买的, 他还可以中间人你的网站
    ztmzzz
        3
    ztmzzz  
       125 天前 via iPhone   ❤️ 1
    对主机提供商来说,中间人攻击随便做啊,除非自己做了证书检测。换个证书浏览器又不会提示。
    hanyuwei70
        4
    hanyuwei70  
       125 天前
    正规 CA 是不允许替用户生成私钥的,如果 LZ 碰到了这种 CA (而不是什么代理商)可以举报。
    busier
        5
    busier  
    OP
       125 天前 via iPhone
    @MooRider 都有私钥了,直接解密通信流量不行吗,为啥还要中间人攻击?
    liuidetmks
        6
    liuidetmks  
       125 天前
    老大哥看着你
    salmon5
        7
    salmon5  
       125 天前
    @busier #5 现在加密套件 都支持 前向保密 FS ,有私钥了也没法通过抓包解密流量。
    有 1 个风险:
    泄露了私钥,可以通过 DNS 劫持中间人攻击,或者 DNS 劫持,然后中间人解密流量的风险。
    salmon5
        8
    salmon5  
       125 天前
    现在云厂商都保留公钥和私钥,包括 AWS ,这个我觉得可以放心,云厂商天然就有你的数据,另外有这个安全实力。
    倒是私钥不应该给非云厂商外的供应商。
    ericguo
        9
    ericguo  
       125 天前
    有些是在浏览器端帮你生成的,点击下载只是本地生成一个 zip 文件下发,真的签发的证书里面是没有私钥的,又要方便又要安全是不可能的。
    j8sec
        10
    j8sec  
       125 天前
    有一个矛盾需要解决的是:
    1. 用户需要 PFX ( PKCS#12 ),JKS 等证书格式;
    2. 用户不会转换这些格式;
    3. 这些格式的转换需要输入私钥;
    busier
        11
    busier  
    OP
       125 天前
    @j8sec 真正需要解决的是给用户选择权,会的用户提交 CSR 。
    j8sec
        12
    j8sec  
       125 天前
    @busier 卖 SSL 的多数都提供了自定 CSR ,只是为了便利用户,默认 autoCSR (自动生成并保存私钥)。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2583 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 11:07 · PVG 19:07 · LAX 03:07 · JFK 06:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.