Tenemos una discusión en el grupo de seguridad de mi compañía sobre cuál es la peor de las siguientes opciones para administrar la clave privada SSL.
El servidor web necesita acceso a la clave privada para la operación de cifrado. Este archivo debe estar protegido contra el acceso no autorizado. Al mismo tiempo, el servidor debe iniciarse automáticamente, sin intervención humana (si es lo suficientemente seguro).
Estamos discutiendo tres opciones:
Proteja la clave con permisos del sistema de archivos.
Use una clave protegida por contraseña e ingrese la clave manualmente en cada reinicio.
Use una clave protegida por contraseña y almacene la clave en el sistema de archivos para automatizar el reinicio.
Nuestras preocupaciones son las siguientes:
Con la opción 1, los reinicios son automáticos, pero un compromiso podría copiar la clave privada y, como no está protegido, podría usarse para descifrar la comunicación o hacerse pasar por nuestros servidores.
La opción 2 parece más segura, pero necesita intervención humana y los administradores de sistemas están preocupados si ocurre fuera de horario. Además, la contraseña debe compartirse con varios administradores de sistemas y usted sabe que un secreto compartido ya no es un secreto.
La opción 3 tiene la mejor de las dos opciones anteriores, pero si alguien tiene acceso a la clave también podría tener acceso a la contraseña :(, por lo que no parece tan segura en absoluto.
¿Cómo gestiona la seguridad de las claves privadas de sus servidores? ¿Hay alguna otra opción (más segura)?