让我们加密包装服务安全吗？

Question

有许多基于web的门户，其目的是使免费的SSL证书的安装对非技术用户(ZeroSsl、SSLforFree)用户友好。由于缺乏更好的术语，我将这些包装器服务称为。

作为一个相对非技术的用户，我的问题是这些包装服务是否不安全，因为私有的CSR可能会暴露给第三方吗？

Answer 1

你需要确保你的私钥是保密的。事情就是这么简单。

CSR (证书签名请求)不包含您的私钥。

您经常提到的服务提供了两种操作模式：

• 您可以上传一个CSR，他们将签署其中所包含的证书，或者
• 他们可以为你生成企业社会责任

虽然后者(它们为您生成CSR )通常意味着方便功能，因为您不必维护适当的工具来在您自己的计算机上读取CSR，但实际上它意味着它们将为您生成一个私钥，这意味着他们可以轻松地保存您的私钥副本。

任何拥有你私钥的人都可以签发附加的证书，上面写着你的名字，或者撤销你的证书。

这意味着，只要您确保您的私钥永远不会离开您的机器(即您在您的机器上本地创建CSR并提升它)，您就可以不用担心地使用任何这些服务。

如果你让他们为你创建私钥，你需要相信他们不会对你造成任何伤害。

Answer 2

@TorstenS的答案是正确的，但我认为不完整。我在https://community.letsencrypt.org/t/web-browser-based-acme-clients/72957上写了一篇关于那个主题的文章。摘要如下：

• 为自己生成CSR更安全(否则他们可以窃取为证书为您生成的私钥)
• 所有这些服务都为您生成一个ACME帐户，因此它们生成该ACME帐户的私钥。这意味着只要挑战有效(如果我没有记错的话)，他们仍然可以吊销您的证书或颁发新的证书(使用他们选择的私钥)。

因此，要使用这些服务，您需要信任背后的人员/公司。其中一些服务的安全性很差。

当然，有了这些服务，您就无法实现自动化。