¿Cuál es el propósito de ssl-cert-snakeoil.key?

62

En este momento instalé el servidor ubuntu 12.04.3 al que quiero acceder a través de ssh. Por esa razón, creé una clave privada a la que me mudé

/etc/ssl/private/

Me pregunto por qué ya hay una clave privada ssl-cert-snakeoil.keyallí. ¿Dónde se usa esta clave privada y puedo eliminarla?

Me llamo
fuente
8
Los certificados autofirmados se denominan certificados de aceite de serpiente porque no están firmados por CA pública.

Respuestas:

46

Ssl-snakeoil.key es una clave creada por los scripts de instalación posterior del paquete ssl-cert. Está creado para el usuario de snakeoil y no debe eliminarse :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Ahora, cuál es el paquete ssl-cert:

Este paquete permite instalaciones desatendidas de paquetes que necesitan crear certificados SSL.

Es un contenedor simple para la utilidad de solicitud de certificado de OpenSSL que lo alimenta con las variables de usuario correctas.

Por lo tanto, es un certificado utilizado para instalar paquetes que necesitan crear certificados SSL, por lo que el sistema genera uno sobre la marcha con la instalación de este paquete.

Como nota al margen, este paquete no es exclusivo de Ubuntu, ya que también aparece en Debian.

Braiam
fuente
77
¡Guauu! perspicaz ¿Puedes decir qué es este usuario de snakeoil?
humanityANDpeace
1
@humanityANDpeace aceite hecho de serpientes ...?
Braiam
@humanityANDpeace no hay usuario de snakeoil.
Braiam
44
:) Soy consciente del origen del trabajo y el significado general del aceite de serpiente. En la respuesta anterior dices it's created for the snakeoil user and should not be deleted:por qué pensé que había una.
humanityANDpeace
20
Si la gente no conoce el idioma, "aceite de serpiente" básicamente significa falso y no se debe confiar en él.
Collin Anderson
24

Es un par de claves públicas y privadas específicas del servidor creado cuando se instala el sistema operativo basado en Debian del servidor (como Ubuntu).

Se utiliza en casos en los que no se instala ni configura ningún otro certificado SSL, pero la comunicación cifrada está habilitada y deseada.

Si bien encripta el tráfico de forma segura, es inseguro y, por lo tanto, se llama 'snakeoil' porque su falta de firma de autoridad de raíz significa que es vulnerable a los ataques más simples de hombre en el medio.

Los administradores de sitios web realmente necesitan reconfigurar los servicios que hacen referencia a la clave de serpiente con una clave debidamente firmada de su CA, como la que esperan utilizar para HTTPS.

dyasta
fuente
44
¿Tendría un ejemplo / enlace con respecto al tipo de ataque de hombre en el medio que es propenso a tal certificado?
Alexis Wilke
55
Dado que el certificado no puede ser validado, el CLIENTE podría aceptar CUALQUIER OTRO certificado A MENOS QUE haya autorizado previamente este certificado en particular O sea particularmente diligente en verificar su huella digital. En resumen, las AC existen por una buena razón (que no sea la ganancia; p).
dyasta