Frage:
Ist es sicher, eine CSR per E-Mail zu senden?
joshu
2012-05-13 18:18:14 UTC
view on stackexchange narkive permalink

Ich bin neu in kommerziellen SSL-Zertifikaten und möchte wissen, ob ein von mir generierter CSR sicher per E-Mail gesendet werden kann?

Es kann nicht sein, dass seine CA danach fragt. Zum Beispiel generiere ich CSRs, die Kunden ihrer CA ihrer Wahl geben können, um ihr Zertifikat zu erhalten.
Ein anderer Anwendungsfall besteht darin, dass eine Person eine CSR-Datei auf einem Server erstellt und diese dann zur Übermittlung an eine Zertifizierungsstelle an einen Vermittler (z. B. eine bestimmte Ops-Person) senden muss.
Ich bin mir der Absicht von OP nicht sicher, aber ich kam zu dieser Frage und suchte nach einer Antwort auf "Ist E-Mail ein sicheres * Medium *, um sichere Informationen wie öffentliche und private Schlüssel zu transportieren, wenn ich sie an die Person / das Team übertrage, die / das ichschuf sie für ".
Fünf antworten:
Luca Filipozzi
2012-05-13 23:56:35 UTC
view on stackexchange narkive permalink

Sicher, aber ich denke nicht, dass die Zertifizierungsstelle CSRs per E-Mail erhalten sollte, es sei denn, sie verwenden einen Mechanismus (wie das Signieren Ihrer E-Mail mit PGP / GPG), um sicherzustellen, dass die CSR von Ihnen stammt (und nicht von jemandem, der dies vorgibt) Sie).

Der CSR sollte nur den öffentlichen Schlüssel enthalten. Solange Sie nicht auch den privaten Schlüssel in dieselbe E-Mail aufnehmen, gibt es wirklich keinen Grund zur Sorge. Auch hier stellen die meisten seriösen Zertifizierungsstellen auf ihrer Website ein Formular zur Verfügung, in das Sie Ihre CSR während des Kaufvorgangs einfügen können.
Aus seiner Frage geht nicht hervor, ob er die CSR persönlich bei der Zertifizierungsstelle einreicht. Er könnte es per E-Mail an einen anderen Administrator (intern oder bei einer anderen Organisation) senden, der es an die Zertifizierungsstelle sendet und die Erstellung eines SSL-Zertifikats für den Server von Joshu anfordert.
Lukas Martini
2012-05-14 07:03:09 UTC
view on stackexchange narkive permalink

Da der CSR nur Ihren öffentlichen Schlüssel enthält: Nein, es ist nicht gefährlich, ihn per E-Mail zu senden oder auf andere Weise zu veröffentlichen. Das einzige, was Sie damit tun können, ist, Zertifikate für diesen öffentlichen Schlüssel zu generieren. Senden Sie Ihren privaten Schlüssel jedoch nicht an Dritte.

Außerdem ist mir kein kommerzieller SSL-Anbieter bekannt, der die CSR per E-Mail erhalten möchte. Sind Sie sicher, dass die Weboberfläche kein Texteingabefeld enthält?

user75995
2015-05-07 05:53:26 UTC
view on stackexchange narkive permalink

Meine Güte. Nein, es ist nicht sicher, die CSR per E-Mail zu senden. Die obigen Kommentare zum Fehlen von Geheimnissen in der CSR sind in Ordnung, aber sie verfehlen den Punkt.

Eine Zertifizierungsstelle gibt durch Unterzeichnen einer CSR und damit Ausstellen eines Zertifikats an, dass der Inhalt der CSR korrekt ist wahr. Da es sich bei E-Mails um einen unsicheren Transport handelt, gibt es per se keine Garantie dafür, dass die von der Zertifizierungsstelle empfangene CSR mit der gesendeten übereinstimmt. Ein offensichtlicher Kompromiss besteht darin, dass die E-Mail abgefangen wird, die CSR auf irgendeine Weise geändert oder ersetzt wird. Da die Zertifizierungsstelle nicht wissen kann, dass dies geschehen ist, deutet dies darauf hin, dass es wahr ist, wenn es nicht das ist, was der Anforderer verlangt hat signiert.

Aus diesem Grund stellt jede seriöse Zertifizierungsstelle ein durch TLS geschütztes Webformular zur Verfügung, um die CSR sicher zu übertragen.

Der einzige Fall, in dem E-Mails akzeptabel sind, ist - als einer von Die obigen Kommentare beziehen sich - wenn die E-Mail überprüfbar ist und der Inhalt bekanntermaßen unverändert ist. Dies wird im Allgemeinen durch Signieren der E-Mail (PGP, S / Mime usw.) erreicht. Andere Optionen könnten darin bestehen, die CSR zu verschlüsseln und einen Out-of-Band- und sicheren Austausch des Verschlüsselungsgeheimnisses bereitzustellen.

Genau genommen ist es das Problem, die CSR zu akzeptieren oder das Zertifikat per E-Mail auszustellen.
David Schwartz
2012-05-14 07:35:27 UTC
view on stackexchange narkive permalink

Die Zertifizierungsstelle muss zu 100% sicher sein, dass die von Ihnen gesendete CSR empfangen wird. Wenn es eine Möglichkeit gibt, dies per E-Mail zu tun, ist das in Ordnung. Die CSR enthält keine vertraulichen Informationen.

Cyril N.
2012-05-14 13:29:12 UTC
view on stackexchange narkive permalink

Es ist seltsam, dass eine Zertifizierungsstelle Sie auffordert, Ihre CSR per E-Mail zu senden.

Im Allgemeinen werden Sie aufgefordert, die CSR zu kopieren / in einen Textbereich auf ihrer Website einzufügen, wenn Sie sich anmelden, während Sie verbunden sind HTTPS.

Nun, wie in Wikipedia erläutert:

Die CSR enthält Informationen zur Identifizierung des Antragstellers (z. B. einen eindeutigen Namen im Fall von ein X.509-Zertifikat) und den vom Antragsteller ausgewählten öffentlichen Schlüssel.

Das heißt, es ist sicher, dies per E-Mail zu senden, da in einer PKI-Infrastruktur der private Schlüssel wichtig ist Sie müssen für sich behalten.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...