Helidon项目中TLS TrustStore不应包含私钥的安全问题分析

问题背景

在Helidon 4.x版本的TLS/SSL实现中，存在一个潜在的安全设计缺陷。当配置信任存储(TrustStore)时，系统会尝试从TrustStore中读取私钥信息，这既不符合安全最佳实践，也可能导致功能性问题。

技术细节

TrustStore与KeyStore的区别

在Java安全体系中，TrustStore和KeyStore有着明确的职责划分：

• TrustStore：专门用于存储受信任的证书，用于验证远程方的身份
• KeyStore：用于存储本地端的私钥和证书链，用于向远程方证明自身身份

Helidon的实现问题

Helidon的KeysBuilderDecorator类中，在构建TLS配置时会尝试从TrustStore中读取私钥。这种设计存在两个主要问题：

1. 安全问题：TrustStore通常会被分发到多个客户端或服务器，如果其中包含私钥，将导致私钥泄露风险
2. 兼容性问题：使用OpenSSL 3.3.x及以上版本生成的PKCS12文件时，如果指定了-jdkTrust选项，TrustStore将无法同时作为KeyStore使用

影响范围

该问题主要影响以下环境：

• 使用Helidon 4.x版本
• 采用分离的TrustStore和KeyStore配置
• 使用OpenSSL 3.3.x及以上版本生成证书文件

解决方案

Helidon团队已经通过PR #9722修复了此问题。修复方案主要包括：

1. 修改KeysBuilderDecorator类的逻辑，不再尝试从TrustStore中读取私钥
2. 确保TrustStore仅用于证书验证目的

安全建议

对于使用Helidon开发安全应用的开发者，建议：

1. 始终将私钥存储在KeyStore中，而非TrustStore
2. 为KeyStore和TrustStore使用不同的密码
3. 定期轮换证书和密钥
4. 使用最小权限原则配置TrustStore中的证书

总结

这个问题的修复体现了Helidon团队对安全问题的重视。作为开发者，理解TrustStore和KeyStore的区别对于构建安全的TLS通信至关重要。Helidon 4.x版本的这一改进使得框架更加符合安全最佳实践，同时也提高了与不同加密工具链的兼容性。