Re: Derechos de lectura por defecto en la clave privada de la CA
El Fri, 26 Oct 2012 17:52:12 +0200, Francesc Guitart escribió: > Estoy en squeeze haciendo pruebas con HTTPS y para ello he creado una CA > y un certificado de servidor con el script CA.pl. > > Me extraña ver que por defecto deja las claves privadas con permisos de > lectura incluido el directorio /usr/lib/ssl/misc/demoCA/private donde va > la clave privada de la CA. Supongo que por los permisos del propio directorio donde se generan las claves se creará un archivo con el modo 644 (lectura/escritura para el propietario y lectura por el grupo y resto). > Alguien sabe una razón de porque esto es así? Me extraña que se trate de > un descuido del creador del script... Bueno, en todos las instrucciones que he leído donde se detalla el proceso para la instalación de un certificado (bien sea autogenerado o expedido por una CA autorizada) siempre recuerdan la necesidad de proteger archivo del certificado (.crt) y la clave (.key), es decir, ponerlo en modo 0400 para que sólo sea legible por el usuario propietario del archivo, que suele ser root. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/k75crk$87n$4...@ger.gmane.org
Re: Derechos de lectura por defecto en la clave privada de la CA
El día 27 de octubre de 2012 02:46, Carlos Miranda Molina (Mstaaravin) escribió: > 2012/10/26 Francesc Guitart : >> Hola, >> >> Estoy en squeeze haciendo pruebas con HTTPS y para ello he creado una >> CA y un certificado de servidor con el script CA.pl. >> >> Me extraña ver que por defecto deja las claves privadas con permisos >> de lectura incluido el directorio /usr/lib/ssl/misc/demoCA/private >> donde va la clave privada de la CA. >> >> Alguien sabe una razón de porque esto es así? Me extraña que se trate >> de un descuido del creador del script... > > Interesante descubrimiento > > Aunque se supone que la private key debe estar protegida con un > password potente. Efectivamente la llave privada de la CA debe estar protegida con una passphrase. Idealmente también la llave privada de un certificado de servidor, aunque no suele hacerse por un tema de comodidad. > > Estamos de acuerdo también que es inteligente que el server que genere > los certificados tiene que ser un server aislado, ademas esos scripts > son para pruebas y uso privado. > +1. Aunque hay empresas que tienen su propia CA y distribuyen sus certificados para usarlos sobretodo para HTTPS y VPNs. Gracias por tu respuesta. -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caouhjl59_7_zcwbgfmmjh+x0+etlpdurdj-pqg14b2ewx89...@mail.gmail.com
Derechos de lectura por defecto en la clave privada de la CA
Hola, Estoy en squeeze haciendo pruebas con HTTPS y para ello he creado una CA y un certificado de servidor con el script CA.pl. Me extraña ver que por defecto deja las claves privadas con permisos de lectura incluido el directorio /usr/lib/ssl/misc/demoCA/private donde va la clave privada de la CA. Alguien sabe una razón de porque esto es así? Me extraña que se trate de un descuido del creador del script... Gracias! -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caouhjl7axczjjs5qukexm2-wzqdl58g-wp5x5ux-hs8lv+3...@mail.gmail.com