Как защитить SSL-сертификат (Apache/CentOS)
В настоящее время я использую SSL-сертификат сервера без парольной фразы, чтобы позволить Apache запускаться без присмотра.
От клиентов поступают знаки, требующие от нас более надежной защиты SSL-сертификата. Я еще не уверен, к чему они стремятся, но сейчас я предполагаю, что им не нужен незащищенный SSL-сертификат на диске. Я полагаю, что не могу избежать этого в памяти Apache, но давайте предположим, что это приемлемо.
Я разработал сложную систему хранения парольной фразы в памяти процесса на внутреннем сервере (т.е. не на переднем веб-сервере) и передал ее на передний сервер с использованием Apache SSLPassPhraseDialog ( http://httpd.apache.org/docs/2.2/mod/mod_ssl.html). Внутреннему серверу нужно будет ввести в него парольную фразу при запуске, и у нас будет несколько таких серверов с балансировкой нагрузки для обеспечения высокой доступности.
Мой вопрос:
- Как "большие мальчики" защищают свой сертификат SSL? Они просто заставляют свои вещи вводить парольную фразу при перезапуске сервера или они оставляют ее незашифрованной, как и все мы?
- Мой опыт работы с открытым исходным кодом заключается в том, что есть очень хороший шанс, что кто-то уже решил любую проблему, с которой я столкнулся - такая система уже доступна?
- Было бы разумно, с точки зрения бизнеса, просто сказать, что мы храним сертификат в незашифрованном виде и просто применяем быстрые процедуры для его отзыва в случае кражи?
2 ответа
Давайте сначала рассмотрим основы инфраструктуры открытых ключей в иерархической модели PKI.
- Открытый ключ - это шифровальщик / шкафчик, который встроен в сертификат, созданный центром сертификации.
- Закрытый ключ - это расшифровщик / разблокировщик, используемый вместе с открытым ключом.
- Открытые ключи и сертификаты не имеют требований конфиденциальности.
- Закрытые ключи имеют требования конфиденциальности
Поэтому ваша забота об Apache должна быть связана с закрытым ключом, а не с открытым ключом. Типичный способ, которым инженер безопасности может защитить личный ключ, - это использовать аппаратный модуль безопасности. Аппаратный модуль безопасности (HSM) может иметь различные форм-факторы, включая смарт-карту, карту PCIe, карту PCI, USB-ключ, USB-накопитель, сетевой HSM или другие. Соответственно, они могут покрывать большое количество бюджетов и возможностей безопасности.
Существуют некоторые HSM, в которых утверждены реализации безопасности, такие как FIPS 140-2 на уровнях 1 (программное обеспечение в целом), 2 физических (защита от несанкционированного доступа), 3 физических (защита от несанкционированного доступа и вторжения) и 4 физических (защита от несанкционированного вмешательства, реакция на вторжение и обнуление ключа).,
Чтобы оценить, должен ли ваш бизнес что-то делать, я бы посмотрел на анализ затрат и результатов и оценку рисков, которая включает в себя вычисления ALE, ARO и SLE. Однако, если вы ведете бизнес через Интернет, может быть лучше пригласить специалиста по веб-безопасности, чтобы оценить всю вашу инфраструктуру и составить сводный список уязвимостей и слабых мест с составленным по приоритетам планом исправления, с которым вы можете работать ваше управление.
Я бы сказал, что "большие парни" выполняют разгрузку SSL на кластерные балансировщики нагрузки, поскольку это то, что я делаю, и я не рядом с "большими парнями".
Я нашел эти инструкции на httpd.apache.org по удалению диалогового окна с парольной фразой, которое вы, вероятно, видели, если вы гуглили проблему, которая, как я полагаю, у вас есть.
Проблема с отзывом заключается в том, что вы подписываете CA, чтобы поторопиться и решить вашу проблему. Если вы платите много за свои сертификаты, я уверен, что их обслуживание очень положительное. Я не уверен, как это было бы для некоторых из мелких оптовиков. Может быть, кто-то еще может войти в.