Sikkerhed
sslbrain håndterer private nøgler og certifikater, det mest følsomme i din infrastruktur. Her er hvordan vi beskytter det.
Vault
Alle private nøgler og følsomme data gemmes i sslbrains vault. Vault'en bruger 3-lags kryptering:
Lag 1: KMS
En nøgle fra sslbrain Cloud (eller din egen HSM) beskytter det næste lag.
Lag 2: KEK
Key Encryption Key, krypterer master key.
Lag 3: Master Key
Krypterer selve dataen med XSalsa20-Poly1305 (stærk, moderne kryptering med integritetsbeskyttelse).
Vigtigt: Ingen enkelt komponent kan dekryptere dine nøgler alene. Selv hvis nogen kopierer hele sslbrain-databasen, er dataen ubrugelig uden KEK og KMS-nøgle.
Vault-oplåsning
Vault'en skal låses op ved opstart, ellers kan sslbrain ikke tilgå private nøgler. Der er tre metoder:
| Metode | Sikkerhed | Anbefalet til |
|---|---|---|
| Automatisk oplåsning (fil) | God | De fleste installationer |
| Manuel adgangskode | Høj | Miljøer med høje sikkerhedskrav |
| HSM / YubiKey | Højest | Enterprise-installationer |
Automatisk oplåsning (anbefalet)
Gemmer oplåsningsnøglen krypteret på disk. Vault'en åbner automatisk når sslbrain starter. Det er den rigtige balance mellem sikkerhed og driftsstabilitet for de fleste.
Manuel oplåsning
Kræver at en administrator indtaster adgangskoden i webinterfacet efter hver genstart. Mere sikkert, men sslbrain kan ikke forny certifikater automatisk mens vault'en er forseglet.
HSM / YubiKey (Enterprise)
Bruger en hardware-sikkerhedsmodul til oplåsning. Nøglen forlader aldrig hardwaren.
KEK-rotation
Hver gang sslbrain starter, henter den en ny KEK fra sslbrain Cloud. Den gamle KEK slettes fra hukommelsen. Data genkrypteres med den nye KEK i baggrunden.
Tip: Det betyder at selv hvis en angriber får fat i en gammel KEK, kan den ikke bruges til at dekryptere nuværende data.
IP-beskyttelse
sslbrain Cloud kender din installations IP-adresse. Hvis en forespørgsel kommer fra en ny IP eller med et udgået token, blokeres den.
Duplikatforsøg, f.eks. hvis nogen gendanner en backup og prøver at registrere sig med samme loginoplysninger, opdages og flagges automatisk. Den originale installation advares.
Roller og adgangskontrol (RBAC)
sslbrain har tre roller:
| Rolle | Rettigheder |
|---|---|
| Admin | Fuld kontrol. Kan oprette brugere, ændre indstillinger, slette data. |
| Operator | Kan udstede og deploye certifikater, administrere servere. Kan ikke ændre brugere eller sikkerhedsindstillinger. |
| Viewer | Kun læseadgang. Kan se certifikater, servere og logs. Kan ikke ændre noget. |
Roller tildeles pr. bruger. Lokale brugere oprettes i sslbrain. Med LDAP/AD-integration (Pro+) kan du mappe AD-grupper til sslbrain-roller.
Revisionslog
Hver handling i sslbrain logges i revisionsloggen:
| Felt | Beskrivelse |
|---|---|
| Hvem | Bruger eller system |
| Hvad | Handling, f.eks. "certifikat udstedt", "server tilføjet", "bruger oprettet" |
| Hvornår | Tidsstempel |
| Detaljer | Påvirket ressource, parametre |
Vigtigt: Revisionsloggen kan ikke slettes eller redigeres fra webinterfacet. Den er append-only.
Eksportér loggen til CSV eller JSON via Indstillinger > Revisionslog > Eksportér til brug i eksterne SIEM-systemer eller compliance-rapporter.
Netværk
sslbrain er designet til minimal netværkseksponering:
Indgående
Kun 1 port (HTTPS, standard 8443). Bruges af administratorer der tilgår webinterfacet og af Windows Agents der checker ind.
Udgående
Kun til faste IP-adresser (sslbrain Cloud) plus de CA'er du bruger.
Tip: Ingen indgående adgang fra internettet er nødvendig. sslbrain behøver ikke være eksponeret offentligt. Agenter og administratorer tilgår den på det interne netværk.
For Enterprise-installationer kan udgående forbindelser deaktiveres helt (offline-mode). Se Indstillinger.
Vores løfte
Ingen nøgleopbevaring
Private nøgler genereres og gemmes udelukkende i din sslbrain-installation. sslbrain Cloud ser dem aldrig.
Ingen bagdøre
Der er ingen skjult adgang, ingen master-nøgle vi kan bruge, ingen remote shell.
Ingen key escrow
Vi har ingen kopi af dine nøgler, og vi kan ikke genskabe dem.
Vigtigt: Hvis du mister din vault-adgangskode og backup-nøgle, er dine private nøgler tabt. Vi kan ikke hjælpe med at gendanne dem. Det er med vilje.