Was ist der Zweck der ssl-cert-snakeoil.key

62

Im Moment habe ich den Ubuntu 12.04.3 Server installiert, auf den ich über ssh zugreifen möchte. Aus diesem Grund habe ich einen privaten Schlüssel erstellt, auf den ich umgezogen bin

/etc/ssl/private/

Ich frage mich nur, warum dort bereits ein privater Schlüssel ist ssl-cert-snakeoil.key. Wo wird dieser private Schlüssel verwendet und kann ich ihn löschen?

ssl Ich heiße
quelle
8
Selbstsignierte Zertifikate werden als Schlangenöl-Zertifikate bezeichnet, da diese nicht von einer öffentlichen Zertifizierungsstelle signiert sind.

Antworten:

46

Der ssl-snakeoil.key ist ein Schlüssel, der von den Post-Install-Skripten des ssl-cert-Pakets erstellt wurde. Es wurde für den Benutzer von snakeoil erstellt und sollte nicht gelöscht werden :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Was ist nun das ssl-cert-Paket:

Dieses Paket ermöglicht unbeaufsichtigte Installationen von Paketen, die SSL-Zertifikate erstellen müssen.

Es ist ein einfacher Wrapper für das OpenSSL-Dienstprogramm zur Zertifikatsanforderung, der die richtigen Benutzervariablen bereitstellt.

Es ist also ein Zertifikat, das zum Installieren von Paketen verwendet wird, für die SSL-Zertifikate erstellt werden müssen, sodass das System bei der Installation dieses Pakets im Handumdrehen eines generiert.

Nebenbei bemerkt, dieses Paket ist nicht exklusiv für Ubuntu, da es auch in Debian erscheint.

Braiam
quelle
7
Beeindruckend! aufschlussreich. Kannst du sagen, was dieser Schlangenöl-Benutzer ist?
humanityANDpeace
1
@humanityANDpeace Öl aus Schlangen ...?
Braiam
@humanityANDpeace Es gibt keinen SnakeOil-Benutzer.
Braiam
4
:) Ich kenne den Ursprung und die allgemeine Bedeutung von Schlangenöl. In der obigen Antwort sagst du, it's created for the snakeoil user and should not be deleted:warum ich dachte, es gäbe eine.
humanityANDpeace
20
Wenn die Leute die Redewendung nicht kennen, bedeutet "Schlangenöl" im Grunde genommen Fälschung und sollte nicht vertrauenswürdig sein.
Collin Anderson
24

Es ist ein serverspezifisches öffentliches und privates Schlüsselpaar, das bei der Installation des Debian-basierten Betriebssystems des Servers (wie Ubuntu) erstellt wird.

Es wird in Fällen verwendet, in denen kein anderes SSL-Zertifikat installiert oder konfiguriert ist, die verschlüsselte Kommunikation jedoch aktiviert und gewünscht ist.

Es verschlüsselt zwar den Datenverkehr sicher, ist jedoch unsicher und wird daher als "snakeoil" bezeichnet, da es aufgrund der fehlenden Signatur der Rootberechtigung anfällig für die einfachsten Man-in-the-Middle-Angriffe ist.

Website-Administratoren müssen wirklich Dienste, die auf den snakeoil-Schlüssel verweisen, mit einem ordnungsgemäß signierten Schlüssel von ihrer Zertifizierungsstelle neu konfigurieren, wie er hoffentlich für HTTPS verwendet wird.

dyasta
quelle
4
Hätten Sie ein Beispiel / einen Link zur Art des Man-in-the-Middle-Angriffs, für den ein solches Zertifikat anfällig ist?
Alexis Wilke
5
Da das Zertifikat nicht validiert werden kann, kann JEDES ANDERE Zertifikat vom Client akzeptiert werden, WENN sie dieses bestimmte Zertifikat NICHT vorautorisiert haben ODER besonders sorgfältig den Fingerabdruck prüfen. Kurz gesagt, die Zertifizierungsstellen existieren aus einem guten Grund (außer Gewinn; p).
Dyasta