Qual é o objetivo do ssl-cert-snakeoil.key

62

Agora instalei o servidor ubuntu 12.04.3 que desejo acessar via ssh. Por esse motivo, criei uma chave privada para a qual mudei

/etc/ssl/private/

Só estou me perguntando por que já existe uma chave privada ssl-cert-snakeoil.keylá. Onde essa chave privada é usada e posso excluí-la?

Meu nome é
fonte
8
Os certificados autoassinados são denominados certificados de óleo de cobra porque não são assinados pela CA pública.

Respostas:

46

O ssl-snakeoil.key é uma chave criada pelos scripts de pós-instalação do pacote ssl-cert. Ele foi criado para o usuário snakeoil e não deve ser excluído :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Agora, qual é o pacote ssl-cert:

Este pacote permite instalações autônomas de pacotes que precisam criar certificados SSL.

É um invólucro simples para o utilitário de solicitação de certificado do OpenSSL que o alimenta com as variáveis ​​de usuário corretas.

Portanto, é um certificado usado para instalar pacotes que precisam criar certificados SSL, para que o sistema gere um em tempo real com a instalação deste pacote.

Como uma observação lateral, este pacote não é exclusivo do Ubuntu, pois também aparece no Debian.

Braiam
fonte
7
Uau! perspicaz. Você pode dizer o que é esse usuário de cobra?
humanityANDpeace
11
@humanityANDpeace óleo feito de cobras ...?
Braiam
@humanityANDpeace não existe usuário de óleo de cobra.
Braiam
4
:) Estou ciente da origem do trabalho e do significado geral do óleo de cobra. Na resposta acima, você diz it's created for the snakeoil user and should not be deleted:que é por isso que eu pensei que havia um.
humanityANDpeace
20
Se as pessoas não conhecem o idioma, "óleo de cobra" basicamente significa falso e não deve ser confiável.
Collin Anderson
24

É um par de chaves públicas e privadas específicas do servidor, criado quando o sistema operacional baseado no Debian do servidor é instalado (como o Ubuntu).

É usado nos casos em que nenhum outro certificado SSL está instalado ou configurado, mas a comunicação criptografada é ativada e desejada.

Embora ele criptografe com segurança o tráfego, é inseguro e, portanto, denominado 'snakeoil' porque sua falta de assinatura de autoridade raiz significa que é vulnerável aos ataques mais simples do tipo homem no meio.

Os administradores de sites realmente precisam reconfigurar os serviços que fazem referência à chave snakeoil com uma chave devidamente assinada de sua CA, como a que esperamos usar para HTTPS.

dyasta
fonte
4
Você teria um exemplo / link em relação ao tipo de ataque intermediário ao qual um certificado é propenso?
Alexis Wilke
5
Como o certificado não pode ser validado, QUALQUER OUTRO certificado pode ser aceito pelo cliente, a menos que tenha pré-autorizado esse certificado em particular OU seja particularmente diligente na verificação da impressão digital. Em resumo, as CAs existem por um bom motivo (exceto lucro; p).
dyasta