V souvislosti s požadavkem v poštovní konferenci bugzilla na více informací o tom, jak je chráněn náš kořenový certifikát, jsem se rozhodl sem o tom napsat, abych viděl, zda podle názoru mnoha lidí není možno učinit více nebo to celkově řešit lepším způsobem.

Currently there is 2 main servers, one for webserver, one for root store, with the root store only connected to the webserver via serial cable, with a daemon running as non-root processes on each end of the serial listening/sending requests/info.

Pokud kořenové úložiště zjistí neplatný požadavek, předpokládá, že webový server je ohrožen a samo se vypne.

Pokud kořenové úložiště neobdrží odpověď na 'ping' přes sériovou linku v předepsaném čase, předpokládá, že webový server je ohrožen nebo že samotné kořenové úložiště bylo odcizeno, a samo se vypne.

Kromě věcí potřebných pro boot, všechna data jsou na šifrovaných oddílech na serveru s kořenovým certifikátem a jen ruční zadání hesla při bootu umožní jeho opětovné používání.

The requests sent to the root store, are stored in a file for another process triggered by cron to parse and sign them, then stored in a reply file to be sent back to the webserver. Causing things to be separated into different users, basic privilege separation stuff. So being actually able to hack the serial daemons will only at the VERY worst cause fraudulent certificates, not the root to be revealed.

Why use serial you ask? Well certificate requests are low bandwidth for starters, then of course simpler systems in security are less prone to exploits, and finally serial code is pretty mature and well tested and hopefully all exploits were found and fixed a long time ago.

With the proposed root certificate changes, there would be a new root, this would sign at least 1 sub-root, then the private key stored offline in a bank vault, with the sub-root doing all the signing, or alternatively 2 sub-roots, 1 for client certificates, one for server, the thinking behind this, if any of the sub-roots are compromised they can be revoked and reissued.

Alternativně postupem času můžeme přidat více bezpečnostních vrstev s řekněme 4 webservery komunikujícími v token ring topologii s 2 přechodnými servery, které komunikují s root úložištěm. Pokud bude jakákoliv operace mimo sekvenci, nejbližší vyšší server sám sebe vypne , což pokud to bude v místě kde je více možných cest, nezpůsobí zádný výpadek systému a zátěž bude rozložena na servery, které nebyly napadeny. Nápady k zamyšlení...