Re: SSL certifikáty, je den nebo víc?

[Marek Chlup <mara zavinac chlup bod net>]

Ahoj,

certifikát je vlastně podepsaný veřejný klíč a k němu přísluší tajný
klíč. Pokud má tedy každá služba svůj pár klíčů, tak případné
"vyzrazení" (či prolomení) tajného klíče u jedné služby, nemá
automaticky za následek lámání komunikace u služby jiné.

Díval jsem se, že většinou jsou tajné klíče nešifrované a čitelné jen
root-em. Tedy v případě nějaké chyby nějaké služby neběžící pod root-em,
která by umožňovala získat obsah lokálních souborů, by nemělo hrozit
čtení klíčů (chtěl jsem totiž původně argumentovat, že každá služba běží
pod nějakým uživatelem a ten umí přečíst jen svůj tajný klíč).

Já tedy ve více certifikátech spatřuji větší bezpečnost. Pro své potřeby
lokálnějšího charakteru mám svoji "certifikační autoritu" a tou
podepisuji veřejné klíče různých služeb.

Marek


On Tue, Mar 17, 2009 at 11:00:02PM +0100, Marek Nožka wrote:
> Ahoj
> 
> Mám následující dotaz k certifikátům. Jak to děláte? Nebo možná: jak by
> se to mělo dělat?
> 
> Pokud mám na jednom serveru více služeb s SSL/TLS -- typicky poštovní
> server (Postfix), FTP server (proFTP), POP (qpoper) možná IMAP atd., je
> lepší generovat si pro každou službu certifikát zvlášť nebo si vystačím
> s jedním? Jsou nějaké bezpečnostní, či filozofické důvody, proč to
> udělat dohromady, nebo proč to udělat pro každý zvlášť?
> 
> Jediný důvod, proč to dávat zvlášť, mě napadá různé Common Name pro
> jednotlivé služby. Ale pokud je to jméno stejné?
> 
> 
> Díky
> -- 
>  @ @ @           Marek Nožka
>  '****.@
>  :*****`@  email:  marek zabalenéAčko tlapicka.net
>  `*****'   jabber: karkulin zabalenéAčko njs.netlab.cz
>   :****:
>   `****'
>   `****'   Powered by Debian GNU/Linux
>   `.**'
>     ¨¨
> ________________________________________________
> CZdebian-l maillist  -  CZdebian-l zavinac debian bod cz
> http://www.debian.cz/mailman/listinfo/czdebian-l
> E-mail (un)subscriptions: czdebian-l-request zavinac debian bod cz