Nous avons une discussion au sein du groupe de sécurité de mon entreprise sur la pire des options suivantes pour gérer la clé privée SSL.
Le serveur Web doit avoir accès à la clé privée pour l'opération de chiffrement. Ce fichier doit être protégé contre tout accès non autorisé. Dans le même temps, le serveur devrait démarrer automatiquement, sans intervention humaine (s'il est suffisamment sécurisé).
Nous discutons de trois options:
Protégez la clé avec les autorisations du système de fichiers.
Utilisez une clé protégée par mot de passe et entrez la clé manuellement à chaque redémarrage.
Utilisez une clé protégée par mot de passe et stockez la clé dans le système de fichiers pour automatiser le redémarrage.
Nos préoccupations sont les suivantes:
Avec l'option 1, les redémarrages sont automatiques mais un compromis pourrait copier la clé privée et, comme il n'est pas protégé, pourrait être utilisé pour déchiffrer la communication ou usurper l'identité de nos serveurs.
L'option 2 semble la plus sécurisée, mais elle nécessite une intervention humaine et les administrateurs système sont inquiets si cela se produit en dehors des heures. De plus, le mot de passe doit être partagé avec plusieurs administrateurs système et vous savez qu'un secret partagé n'est plus un secret.
L'option 3 a le meilleur des deux options précédentes, mais si quelqu'un a accès à la clé, il pourrait également avoir accès au mot de passe :(, il ne semble donc pas si sûr du tout.
Comment gérez-vous la sécurité des clés privées de vos serveurs? Existe-t-il d'autres options (plus sécurisées)?