Ssl-cert-snakeoil.key का उद्देश्य क्या है


62

अभी मैंने ubuntu 12.04.3 सर्वर स्थापित किया है जिसे मैं ssh के माध्यम से एक्सेस करना चाहता हूं। इस कारण से मैंने एक निजी कुंजी बनाई जिसे मैं स्थानांतरित कर दिया

/etc/ssl/private/

मैं सोच रहा हूँ कि वहाँ पहले से ही निजी कुंजी क्यों है ssl-cert-snakeoil.key। यह निजी कुंजी कहां उपयोग की जाती है और क्या मैं इसे हटा सकता हूं?


8
स्व-हस्ताक्षरित प्रमाणपत्रों को सर्प-तेल प्रमाणपत्र कहा जाता है क्योंकि ये सार्वजनिक सीए द्वारा हस्ताक्षरित नहीं हैं।

जवाबों:


46

Ssl-snakeoil.key ssl- सर्टिफिकेट पैकेज पोस्ट-इंस्टॉल स्क्रिप्ट द्वारा बनाई गई एक कुंजी है। यह स्नेकोइल उपयोगकर्ता के लिए बनाया गया है और इसे हटाया नहीं जाना चाहिए :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

अब, एसएसएल-सर्टिफिकेट पैकेज क्या है:

यह पैकेज SSL प्रमाणपत्र बनाने के लिए आवश्यक पैकेजों की अनअटेंडेड इंस्टॉल को सक्षम करता है।

यह ओपनएसएसएल के सर्टिफिकेट रिक्वेस्ट यूटिलिटी के लिए एक सरल आवरण है जो इसे सही उपयोगकर्ता चर के साथ फीड करता है।

तो यह उन पैकेजों को स्थापित करने के लिए उपयोग किया जाने वाला एक प्रमाणपत्र है जिसे एसएसएल प्रमाणपत्र बनाने की आवश्यकता होती है, इसलिए सिस्टम इस पैकेज की स्थापना के साथ फ्लाई पर एक उत्पन्न करता है।

एक साइड नोट के रूप में, यह पैकेज उबंटू के लिए अनन्य नहीं है, क्योंकि यह डेबियन में भी दिखाई देता है।


7
वाह! व्यावहारिक। क्या आप बता सकते हैं कि यह सर्पिल उपयोगकर्ता क्या है?
मानवतावादपीस

1
@humanityANDpeace सांप से बना तेल ...?
Braiam

@humanityANDpeace कोई सर्पिल उपयोगकर्ता नहीं है।
Braiam

4
:) मुझे सर्पिल के काम की उत्पत्ति और सामान्य अर्थ के बारे में पता है। ऊपर दिए गए उत्तर में आप कहते हैं it's created for the snakeoil user and should not be deleted:कि मैंने ऐसा क्यों किया।
मानवतावाद

20
यदि लोग मुहावरे को नहीं जानते हैं, तो "साँप का तेल" मूल रूप से नकली है और उस पर भरोसा नहीं किया जाना चाहिए।
कोलिन एंडरसन

24

यह एक सर्वर-विशिष्ट सार्वजनिक और निजी कुंजी जोड़ी है जब सर्वर का डेबियन आधारित ओएस स्थापित होता है (जैसे उबंटू)।

यह उन मामलों में उपयोग किया जाता है जहां कोई अन्य एसएसएल प्रमाणपत्र स्थापित या कॉन्फ़िगर नहीं किया गया है, लेकिन एन्क्रिप्टेड संचार सक्षम और वांछित है।

हालांकि यह सुरक्षित रूप से ट्रैफ़िक को एन्क्रिप्ट करता है, यह असुरक्षित है और इसलिए इसे 'स्नेकॉइल' नाम दिया गया है, क्योंकि इसमें रूट अथॉरिटी सिग्नेचर की कमी है, इसका मतलब है कि यह सबसे सरल मैन-इन-द-बीच हमलों के लिए असुरक्षित है।

वेबसाइट प्रशासकों को वास्तव में उन सेवाओं को फिर से कॉन्फ़िगर करने की आवश्यकता होती है जो सर्पिल कुंजी को उनके सीए से ठीक से हस्ताक्षरित कुंजी के साथ संदर्भित करते हैं, जैसे कि वे HTTPS के लिए उम्मीद करते हैं।


4
क्या आपके पास इस तरह के सर्टिफिकेट के लिए मानव-में-मध्य प्रकार के हमले के संबंध में एक उदाहरण / लिंक होगा?
एलेक्सिस विल्के

5
चूंकि प्रमाण पत्र को मान्य नहीं किया जा सकता है, तब ग्राहक द्वारा किसी भी अन्य प्रमाण पत्र को स्वीकार किया जा सकता है क्योंकि उनके पास इस विशेष प्रमाणपत्र को पूर्व-अधिकृत किया गया है या यह फिंगरप्रिंट की जाँच करने में विशेष रूप से मेहनती है। संक्षेप में, सीए एक अच्छे कारण के लिए मौजूद हैं (लाभ के अलावा; पी)।
dyasta
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.