Est-il sûr de publier les certificats racine et intermédiaire d'une autorité de certification privée?

Question

Contexte: Nous avons une autorité de certification privée dans mon entreprise. Nous fournissons des machines virtuelles dans notre cloud privé qui devront faire confiance aux certificats SSL émis par cette autorité de certification, c'est-à-dire qu'elles auront besoin de la chaîne de certificats installée et approuvée. Comme l'approvisionnement est entièrement automatisé, nous validons le .pem de la chaîne de certificats (composé de la racine et d'un certificat intermédiaire) dans un référentiel Git privé. Comme toujours, même si le repo est privé, le risque d'exposition existe.

Question: Si ladite chaîne de certificats est rendue publique par inadvertance pour une raison quelconque, cela nous expose-t-il à un risque indu?

(Je suis assez confiant que cela va bien, mais je voudrais vérifier ma santé mentale par rapport à cette communauté, et j'espère que la réponse aidera quelqu'un d'autre à l'avenir).

Question: Si ladite chaîne de certificats est rendue publique par inadvertance pour une raison quelconque, cela nous expose-t-il à un risque indu?

(Je suis assez confiant que cela va bien, mais je voudrais vérifier ma santé mentale par rapport à cette communauté, et j'espère que la réponse aidera quelqu'un d'autre à l'avenir).

David · Accepted Answer

Il y a une raison pour laquelle on les appelle des clés "publiques". :) Il y a des centaines de certificats racine CA fournis avec votre système d'exploitation, etc. Si votre attaquant peut factoriser votre clé publique, vous avez déjà perdu.

Les seules préoccupations que j'aurais avec une autorité de certification privée sont de savoir si vous exposez ou non des informations sur votre structure interne qui pourraient être utiles à un attaquant. par exemple, des détails sur qui exploite votre autorité de certification, des serveurs particuliers qui ont les clés privées de l'autorité de certification pour la signature ...

Mike Ounsworth · Answer

En s'appuyant sur @ la réponse de David , cela dépend de ce qui se trouve dans ces certificats et si vous considérez que ces informations sont sensibles. Par exemple, cela n'est probablement pas sensible:

cn=Root CA, O=ebr, inc, C=US

mais cela pourrait être:

cn=AWS subnet 101.102.103 Issuing CA, OU=Backend Servers, O=ebr, inc, C=US

Pensez également à savoir si la date d'expiration de l'autorité de certification émettrice est une information sensible, car un attaquant saura que tous les certificats doivent être reconduits autour de cette date. Existe-t-il une entrée OCSP ou CDP? Son URL divulgue-t-elle des informations sur la structure de votre réseau? Etc...

Bottom line: Selon toute vraisemblance, les certificats CA sont bien pour être publics, mais vous devez ouvrir les fichiers cert dans une visionneuse et vous assurer qu'il n'y a rien là-dedans que vous préférez garder privé.