Quel est le but de ssl-cert-snakeoil.key

49

En ce moment, j'ai installé le serveur Ubuntu 12.04.3 auquel je veux accéder via ssh. Pour cette raison, j'ai créé une clé privée que j'ai déplacée vers

/etc/ssl/private/

Je me demande pourquoi la clé privée ssl-cert-snakeoil.key est déjà présente. Où cette clé privée est-elle utilisée et puis-je la supprimer?

    
posée My-Name-Is 26.12.2013 - 23:04
la source

2 réponses

38

ssl-snakeoil.key est une clé créée par les scripts de post-installation du package ssl-cert. Il est créé pour l'utilisateur snakeoil et ne doit pas être supprimé :

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

Maintenant, quel est le paquet ssl-cert:

  

Ce paquet permet des installations sans assistance de paquets    besoin de créer des certificats SSL.

     

C'est un simple wrapper pour l'utilitaire de demande de certificat OpenSSL    l'alimente avec les variables utilisateur correctes.

Il s’agit donc d’un certificat utilisé pour installer des packages devant créer des certificats SSL, de sorte que le système en génère un à la volée lors de l’installation de ce package.

En passant, ce paquet n'est pas exclusif à Ubuntu, car il apparaît également dans Debian.

    
réponse donnée Braiam 26.12.2013 - 23:23
la source
17

Il s'agit d'une paire de clés publique et privée spécifique au serveur créée lorsque le système d'exploitation basé sur Debian du serveur est installé (comme Ubuntu).

Il est utilisé dans les cas où aucun autre certificat SSL n'est installé ou configuré, mais la communication cryptée est activée et souhaitée.

Bien qu’il encrypte le trafic en toute sécurité, il n’est pas sécurisé et porte donc le nom de «snakeoil», car son absence de signature d’autorité racine signifie qu’il est vulnérable aux attaques les plus simples.

Les administrateurs de sites Web ont vraiment besoin de reconfigurer les services faisant référence à la clé snakeoil avec une clé correctement signée provenant de leur autorité de certification, comme celle qu'ils espèrent utiliser pour HTTPS.

    
réponse donnée dyasta 23.10.2015 - 16:44
la source

Lire d'autres questions sur les étiquettes