ssl-cert-snakeoil.keyの目的は何ですか


62

今、私はssh経由でアクセスしたいubuntu 12.04.3サーバーをインストールしました。そのため、私は移動した秘密鍵を作成しました

/etc/ssl/private/

なぜそこに秘密鍵がすでにあるのかと思っssl-cert-snakeoil.keyています。この秘密鍵はどこで使用され、削除できますか?


8
自己署名証明書は、公開CAによって署名されていないため、スネークオイル証明書と呼ばれます。

回答:


46

ssl-snakeoil.keyは、ssl-certパッケージのインストール後スクリプトによって作成されるキーです。これはsnakeoilユーザー用に作成されているため、削除しないでください

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

さて、ssl-certパッケージとは何ですか:

このパッケージにより、SSL証明書を作成する必要があるパッケージの無人インストールが可能になります。

これは、OpenSSLの証明書要求ユーティリティの単純なラッパーであり、正しいユーザー変数を提供します。

したがって、これはSSL証明書を作成する必要のあるパッケージのインストールに使用される証明書であるため、システムはこのパッケージのインストール時にその場で証明書を生成します。

補足として、このパッケージはUbuntu専用ではありません。Debianにも表示されるためです。


7
うわー!洞察力。このsnakeoilユーザーが何であるかわかりますか?
humanityANDpeace 14年

1
@humanityAND平和のヘビ油...?
Braiam

@humanityANDpeace snakeoilユーザーはいません。
Braiam 14年

4
:)私は作品の起源とヘビ油の一般的な意味を知っています。上記の答えit's created for the snakeoil user and should not be deleted:では、だから私はそれがあると思ったと言います。
humanityANDpeace

20
人々がイディオムを知らない場合、「蛇油」は基本的に偽物を意味し、信頼されるべきではありません。
コリンアンダーソン14

24

これは、サーバーのDebianベースのOSがインストールされたときに作成されるサーバー固有の公開キーと秘密キーのペアです(Ubuntuなど)。

他のSSL証明書がインストールまたは構成されていないが、暗号化された通信が有効であり、望ましい場合に使用されます。

トラフィックを安全に暗号化しますが、ルート権限署名がないため、最も単純な中間者攻撃に対して脆弱であるため、安全ではないため「snakeoil」と名付けられています。

Webサイト管理者は、実際にHTTPSに使用するような、CAからの適切に署名されたキーでsnakeoilキーを参照するサービスを再構成する必要があります。


4
そのような証明書になりがちな中間者攻撃の種類に関する例/リンクはありますか?
アレクシスウィルケ

5
証明書を検証できないため、クライアントがこの特定の証明書を事前承認していない限り、または指紋のチェックに特に熱心でなければ、他の証明書をクライアントが受け入れることができます。つまり、CAは正当な理由で存在します(利益; p以外)。
dyasta
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.