我目前使用没有密码的服务器 SSL 证书,以允许 Apache 无人值守启动。
有客户的迹象要求我们更安全地保护 SSL 证书。我还不确定他们的目标是什么,但现在我猜他们不希望磁盘上有未受保护的 SSL 证书。我想我无法避免在 Apache 的内存中清楚地看到它,但让我们假设这是可以接受的。
我想出了一个精心设计的系统,将密码短语保存在内部服务器(即不在前线 Web 服务器上)的进程内存中,并使用 Apache SSLPassPhraseDialog(http ://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog)。内部服务器必须在启动时输入密码短语,并且我们将有多个此类服务器负载平衡以实现高可用性。
我的问题是:
- “大男孩”如何保护他们的 SSL 证书?他们只是强迫他们的东西在服务器重启时输入密码,还是像我们其他人一样保持未加密?
- 我对开源的经验是,很有可能有人已经解决了我面临的任何问题——这样的系统已经可用了吗?
- 从业务层面的角度来看,是否可以说我们保持证书未加密并且如果被盗有快速程序来撤销它是合理的吗?
我会说“大男孩”将 SSL 卸载到集群前端负载平衡器上,因为这就是我所做的,而且我离“大男孩”还差得很远。
我在 httpd.apache.org 上找到了这些关于删除密码对话框的说明,如果你用谷歌搜索问题,你可能已经看到了,我假设你有。
吊销的问题在于,您只能任由签署 CA 来快点处理您的问题。如果你为你的证书付出了很多,我相信他们的服务是非常积极的。我不确定对于一些较小的批发商会如何。也许其他人可以插话。
让我们首先在分层 PKI 模型中回顾公钥基础设施的基础知识。
因此,您对 Apache 的关注应该围绕着私钥,而不是公钥。安全工程师保护私钥的典型方式是使用硬件安全模块。硬件安全模块 (HSM) 可以采用多种形式,包括智能卡、PCIe 卡、PCI 卡、USB 加密狗、USB 记忆棒、基于网络的 HSM 等。因此,这些可以涵盖大量的预算和安全能力。
有一些 HSM 已验证安全实施,例如 FIPS 140-2 级别 1(一般软件)2 物理(防篡改)3 物理(防篡改和入侵响应)和 4 物理(防篡改、入侵响应和密钥归零) .
为了评估您的企业是否应该做某事,我会考虑进行成本效益分析和风险评估,其中包括 ALE、ARO 和 SLE 计算。但是,如果您通过 Web 开展业务,最好聘请 Web 安全专家来评估您的所有基础设施,并提出漏洞和弱点的综合列表,并制定您可以使用的优先修复计划你的管理层。