Apa tujuan dari ssl-cert-snakeoil.key

62

Sekarang saya menginstal server ubuntu 12.04.3 yang ingin saya akses melalui ssh. Untuk alasan itu saya membuat kunci pribadi yang saya pindahkan

/etc/ssl/private/

Saya hanya ingin tahu mengapa sudah ada kunci pribadi ssl-cert-snakeoil.keydi sana. Di mana kunci pribadi ini digunakan dan dapatkah saya menghapusnya?

ssl Nama saya adalah
sumber
8
Sertifikat yang ditandatangani sendiri disebut sebagai sertifikat minyak ular karena tidak ditandatangani oleh CA.

Jawaban:

46

Ssl-snakeoil.key adalah kunci yang dibuat oleh skrip pasca pemasangan paket ssl-cert. Ini dibuat untuk pengguna snakeoil dan tidak boleh dihapus :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Sekarang, apa paket ssl-cert:

Paket ini memungkinkan pemasangan paket tanpa pengawasan yang perlu membuat sertifikat SSL.

Ini adalah pembungkus sederhana untuk utilitas permintaan sertifikat OpenSSL yang mengisinya dengan variabel pengguna yang benar.

Jadi itu adalah sertifikat yang digunakan untuk menginstal paket yang perlu membuat sertifikat SSL, sehingga sistem membuat on the fly dengan instalasi paket ini.

Sebagai catatan tambahan, paket ini tidak eksklusif untuk Ubuntu, karena paket ini juga muncul di Debian.

Braiam
sumber
7
Wow! berwawasan luas. Bisakah Anda tahu apa pengguna snakeoil ini?
humanityANDpeace
1
@humanityANDpeace oil terbuat dari ular ...?
Braiam
@humanityANDpeace tidak ada pengguna snakeoil.
Braiam
4
:) Saya menyadari asal kerja dan arti umum dari snakeoil. Dalam jawaban di atas Anda mengatakan it's created for the snakeoil user and should not be deleted:itu sebabnya saya pikir ada satu.
humanityANDpeace
20
Jika orang tidak tahu ungkapannya, "minyak ular" pada dasarnya berarti palsu dan tidak boleh dipercaya.
Collin Anderson
24

Ini adalah pasangan kunci publik dan kunci privat khusus server yang dibuat ketika OS berbasis Debian server diinstal (seperti Ubuntu).

Ini digunakan dalam kasus di mana tidak ada sertifikat SSL lain diinstal atau dikonfigurasi, tetapi komunikasi terenkripsi diaktifkan dan diinginkan.

Meskipun mengenkripsi lalu lintas dengan aman, ia tidak aman dan karenanya dinamai 'snakeoil' karena kurangnya tanda tangan otoritas root berarti rentan terhadap serangan manusia paling sederhana.

Administrator situs web benar-benar perlu mengkonfigurasi ulang layanan yang merujuk kunci snakeoil dengan kunci yang ditandatangani dengan benar dari CA mereka, seperti yang semoga mereka gunakan untuk HTTPS.

dyasta
sumber
4
Apakah Anda memiliki contoh / tautan yang berkaitan dengan jenis serangan manusia-di-tengah-tengah yang rentan terhadap sertifikat seperti itu?
Alexis Wilke
5
Karena sertifikat tidak dapat divalidasi, maka SETIAP sertifikat LAINNYA dapat diterima oleh klien KECUALI mereka telah pra-otorisasi sertifikat khusus ini ATAU sangat rajin memeriksa sidik jari itu. Singkatnya, CA ada karena alasan yang baik (selain dari laba; p).
dyasta