Как защитить SSL-сертификат (Apache/CentOS)

В настоящее время я использую SSL-сертификат сервера без парольной фразы, чтобы позволить Apache запускаться без присмотра.

От клиентов поступают знаки, требующие от нас более надежной защиты SSL-сертификата. Я еще не уверен, к чему они стремятся, но сейчас я предполагаю, что им не нужен незащищенный SSL-сертификат на диске. Я полагаю, что не могу избежать этого в памяти Apache, но давайте предположим, что это приемлемо.

Я разработал сложную систему хранения парольной фразы в памяти процесса на внутреннем сервере (т.е. не на переднем веб-сервере) и передал ее на передний сервер с использованием Apache SSLPassPhraseDialog ( http://httpd.apache.org/docs/2.2/mod/mod_ssl.html). Внутреннему серверу нужно будет ввести в него парольную фразу при запуске, и у нас будет несколько таких серверов с балансировкой нагрузки для обеспечения высокой доступности.

Мой вопрос:

  1. Как "большие мальчики" защищают свой сертификат SSL? Они просто заставляют свои вещи вводить парольную фразу при перезапуске сервера или они оставляют ее незашифрованной, как и все мы?
  2. Мой опыт работы с открытым исходным кодом заключается в том, что есть очень хороший шанс, что кто-то уже решил любую проблему, с которой я столкнулся - такая система уже доступна?
  3. Было бы разумно, с точки зрения бизнеса, просто сказать, что мы храним сертификат в незашифрованном виде и просто применяем быстрые процедуры для его отзыва в случае кражи?
Источник

2 ответа

Решение

Давайте сначала рассмотрим основы инфраструктуры открытых ключей в иерархической модели PKI.

  1. Открытый ключ - это шифровальщик / шкафчик, который встроен в сертификат, созданный центром сертификации.
  2. Закрытый ключ - это расшифровщик / разблокировщик, используемый вместе с открытым ключом.
  3. Открытые ключи и сертификаты не имеют требований конфиденциальности.
  4. Закрытые ключи имеют требования конфиденциальности

Поэтому ваша забота об Apache должна быть связана с закрытым ключом, а не с открытым ключом. Типичный способ, которым инженер безопасности может защитить личный ключ, - это использовать аппаратный модуль безопасности. Аппаратный модуль безопасности (HSM) может иметь различные форм-факторы, включая смарт-карту, карту PCIe, карту PCI, USB-ключ, USB-накопитель, сетевой HSM или другие. Соответственно, они могут покрывать большое количество бюджетов и возможностей безопасности.

Существуют некоторые HSM, в которых утверждены реализации безопасности, такие как FIPS 140-2 на уровнях 1 (программное обеспечение в целом), 2 физических (защита от несанкционированного доступа), 3 физических (защита от несанкционированного доступа и вторжения) и 4 физических (защита от несанкционированного вмешательства, реакция на вторжение и обнуление ключа).,

Чтобы оценить, должен ли ваш бизнес что-то делать, я бы посмотрел на анализ затрат и результатов и оценку рисков, которая включает в себя вычисления ALE, ARO и SLE. Однако, если вы ведете бизнес через Интернет, может быть лучше пригласить специалиста по веб-безопасности, чтобы оценить всю вашу инфраструктуру и составить сводный список уязвимостей и слабых мест с составленным по приоритетам планом исправления, с которым вы можете работать ваше управление.

Источник

Я бы сказал, что "большие парни" выполняют разгрузку SSL на кластерные балансировщики нагрузки, поскольку это то, что я делаю, и я не рядом с "большими парнями".

Я нашел эти инструкции на httpd.apache.org по удалению диалогового окна с парольной фразой, которое вы, вероятно, видели, если вы гуглили проблему, которая, как я полагаю, у вас есть.

Проблема с отзывом заключается в том, что вы подписываете CA, чтобы поторопиться и решить вашу проблему. Если вы платите много за свои сертификаты, я уверен, что их обслуживание очень положительное. Я не уверен, как это было бы для некоторых из мелких оптовиков. Может быть, кто-то еще может войти в.

Источник
Другие вопросы по тегам