التحقق من السلامة - هل يجب على وحدات AMI العامة الخاصة بي لـ EC2 إنشاء شهادات Apache SSL جديدة عند التشغيل الأول؟
https://stackoverflow.com/questions/3551526
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أرغب في تقديم Ubuntu Lucid AMIs العامة الجاهزة للنشر على Amazon Web Services EC2.نظرًا لأن أجهزة AMI هذه تستخدم تطبيقات ويب مفتوحة المصدر، فأنا أرغب في تكوين Apache mod_ssl مسبقًا وفرض كل حركة المرور عبر https.هذا سهل بما فيه الكفاية.
أنا مهتم بفحص السلامة العقلية:إلى أي مدى سيكون النشر غير آمن بدون برنامج نصي للتشغيل لأول مرة يقوم بإنشاء ملفات CSR وملفات server.key / server.crt جديدة؟(على سبيل المثال، أي شخص يصل إلى AMI سيحصل على نسخة من server.key الذي يستخدمه أي شخص آخر يقوم بتشغيل مثيل تم إطلاقه من AMI؟
لم أر بعد AMIs العامة من شركات المجتمع/المؤسسات ذات السمعة الطيبة تقدم AMIs بهذه الطريقة - في الواقع معظمها يقدمها بدون mod_ssl على الإطلاق - تاركًا الأمر لمسؤول النظام.
-جاك مورجيا
المحلول
سأقوم بالتأكيد بإنشاء مفتاح فريد عند الإطلاق الأولي للمثيل العام.من المرجح جدًا أن يكون الأشخاص كسالى ويستخدمون فقط أي شهادة تقدمها لهم.نظرًا لأنهم جميعًا لديهم نفس الشهادة (والمفتاح الخاص)، فهذا يعني أنه يمكن لأي منهم انتحال شخصية أي مثيل آخر لنفس AMI.وهذا يعني أيضًا أن أيًا منهم يمكنه MITM أو فك تشفير حركة مرور الويب المرسلة من أو إلى أي من الحالات الأخرى.
بشكل عام، ربما ينبغي عليك دائمًا إنشاء مواد تشفير جديدة لكل إطلاق أولي لـ AMI العامة.
