プライベートCAのルート証明書と中間証明書を公開しても安全ですか?
Context:私の会社には私的な認証局があります。このCAによって発行されたSSL証明書を信頼する必要があるプライベートクラウドでVMをプロビジョニングしています。つまり、VMは証明書チェーンがインストールされ、信頼されている必要があります。プロビジョニングは完全に自動化されているため、証明書チェーンの.pem(ルートと1つの中間証明書で構成される)をプライベートGitリポジトリにコミットしています。いつものように、レポはプライベートですが、公開されるリスクがあります。
質問:何らかの理由で証明書チェーンが不注意で公開された場合、不当なリスクにさらされますか?
(これは問題ないと確信していますが、このコミュニティに対して自分の正気を確認したいと思います。その答えが将来誰かを助けることを期待しています)。
それらが「公開」キーと呼ばれるのには理由があります。 :)オペレーティングシステムにバンドルされている数百のルートCA証明書などがあります。攻撃者が公開鍵を分解できる場合、すでに失っています。
プライベートCAに関して私が抱く唯一の懸念は、攻撃者に役立つかもしれない内部構造に関する情報を公開するかどうかです。たとえば、誰がCAを操作するかの詳細、署名用のCA秘密鍵を持つ特定のサーバー...
@ David's answer に基づいて、これらの証明書の内容と、その情報を機密と見なすかどうかによって異なります。たとえば、これはおそらく敏感ではありません:
cn=Root CA, O=ebr, inc, C=US
しかしこれは:
cn=AWS subnet 101.102.103 Issuing CA, OU=Backend Servers, O=ebr, inc, C=US
また、攻撃者はすべての証明書をその日付にロールオーバーする必要があることを知っているため、発行元のCAの有効期限が機密情報であるかどうかについても検討します。 OCSPまたはCDPエントリはありますか?そのURLはネットワーク構造に関する情報を漏らしていますか?等...
結論:ほとんどの場合、CA証明書は公開しても問題ありませんが、ビューアーで証明書ファイルを開き、非公開にしたくないものがないことを確認する必要があります。