Quel est le but de la ssl-cert-snakeoil.key

62

À l'heure actuelle, j'ai installé le serveur Ubuntu 12.04.3 auquel je souhaite accéder via ssh. C’est pour cette raison que j’ai créé une clé privée sur laquelle j’ai déménagé.

/etc/ssl/private/

Je me demande simplement pourquoi la clé privée existe déjà ssl-cert-snakeoil.key. Où cette clé privée est-elle utilisée et puis-je la supprimer?

ssl Mon nom est
la source
8
Les certificats auto-signés sont qualifiés de certificats d'huile de serpent car ils ne sont pas signés par une autorité de certification publique.

Réponses:

46

Ssl-snakeoil.key est une clé créée par les scripts de post-installation du paquet ssl-cert. Il a été créé pour l'utilisateur snakeoil et ne doit pas être supprimé :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Maintenant, quel est le package ssl-cert:

Ce package permet l’installation sans assistance de packages devant créer des certificats SSL.

C'est un simple wrapper pour l'utilitaire de demande de certificat d'OpenSSL qui l'alimente avec les variables utilisateur correctes.

Il s’agit donc d’un certificat utilisé pour installer les packages qui doivent créer des certificats SSL. Le système en génère un à la volée lors de l’installation de ce package.

En passant, ce paquet n'est pas exclusif à Ubuntu, car il apparaît également dans Debian.

Braiam
la source
7
Hou la la! perspicace. Pouvez-vous dire ce que cet utilisateur snakeoil est?
humanite et
1
@humanityANDpeace huile de serpents ...?
Braiam
@humanityANDpeace, il n'y a pas d'utilisateur de snakeoil.
Braiam
4
:) Je suis conscient de l'origine du travail et de la signification générale de snakeoil. Dans la réponse ci-dessus, vous dites: it's created for the snakeoil user and should not be deleted:c'est pourquoi je pensais qu'il y en avait un.
humanite et
20
Si les gens ne connaissent pas l'idiome, "huile de serpent" signifie fondamentalement faux et ne devrait pas faire confiance.
Collin Anderson
24

Il s'agit d'une paire de clés publique et privée spécifique au serveur, créée lors de l'installation du système d'exploitation Debian du serveur (comme Ubuntu).

Il est utilisé dans les cas où aucun autre certificat SSL n'est installé ou configuré, mais que la communication cryptée est activée et souhaitée.

Bien que le trafic soit crypté de manière sécurisée, il n'est pas sécurisé et s'appelle donc 'snakeoil' car son manque de signature d'autorité racine signifie qu'il est vulnérable aux attaques les plus simples.

Les administrateurs de site Web ont vraiment besoin de reconfigurer les services qui référencent la clé snakeoil avec une clé correctement signée de leur autorité de certification, comme celle qu'ils utilisent, espérons-le, pour HTTPS.

Dyasta
la source
4
Souhaitez-vous avoir un exemple / lien en ce qui concerne le type d'attaque man-in-the-middle qu'un tel certificat est sujet à?
Alexis Wilke
5
Étant donné que le certificat ne peut pas être validé, le client peut accepter TOUT AUTRE certificat SAUF SI ce certificat est préautorisé OU OU il est particulièrement attentif à la vérification de son empreinte digitale. En bref, les CA existent pour une bonne raison (autre que le profit; p).
Dyasta