web-dev-qa-db-fra.com

Est-il sûr d'envoyer des certificats SSL par e-mail?

Je viens de commander un certificat Comodo PositiveSSL bon marché via un revendeur britannique, et j'ai été plutôt surpris de constater que les fichiers suivants m'ont été envoyés automatiquement par e-mail, dans un fichier Zip:

  • Certificat d'autorité de certification racine - AddTrustExternalCARoot.crt
  • Certificat CA intermédiaire - COMODORSAAddTrustCA.crt
  • Certificat CA intermédiaire - COMODORSADomainValidationSecureServerCA.crt
  • Votre certificat PositiveSSL - nom_domaine.crt

De plus, le certificat lui-même (le dernier fichier) est ajouté sous forme de texte à la fin de l'e-mail.

C'est pour un site qui n'a pas besoin de beaucoup de sécurité - il ne gère pas les cartes de crédit ou autres informations hautement confidentielles. J'ai mis en place une phrase de passe forte sur la clé privée associée.

Ai-je raison de supposer que ce certificat est inutile sans la clé privée et la phrase secrète? Ou, étant donné que le courrier électronique peut être considéré comme compromis, un attaquant souhaitant décrypter le trafic de mon site aurait-il un avantage s'il disposait de ces fichiers?

Je suis disposé à recréer le certificat immédiatement, mais je crains que Comodo m'envoie "utilement" un nouveau fichier Zip. Je préfère de loin télécharger tous ces fichiers à partir du site Web SSL du revendeur.

36
halfer

Vous avez raison de supposer que le certificat est inutile sans la clé privée, donc l'envoyer par la poste n'est pas un gros risque pour la sécurité et est une pratique courante en fait. Le certificat est censé être public, la connexion à votre site Web me fournirait également votre certificat, donc pas besoin de pirater votre e-mail.

modifier

Au démarrage de la connexion, le serveur envoie le certificat qui incorpore la clé publique. Le client va générer une clé de session (symétrique) utilisée pour crypter le reste de la communication et la crypter avec la clé publique. Désormais, seul le serveur avec la clé privée correspondante peut déchiffrer cette clé de session et l'utiliser pour déchiffrer et chiffrer les données suivantes.

De cette façon, peu importe si quelqu'un d'autre a votre certificat, tant qu'il n'a pas la clé privée qui lui appartient, il ne pourra pas déchiffrer la clé de session et ne pourra pas usurper l'identité de votre serveur .

49
BadSkillz

Oui, ce que vous obtenez dans le fichier Zip est exactement ce que chaque visiteur de votre site obtiendrait à chaque fois qu'il démarre une session TLS - les clés publiques avec les informations de certification. La clé privée est la seule chose qui doit être conservée à l'abri des accès non autorisés.

32
mricon