Probleem:
Bij het installeren van een thema of component uit een privé Git-repository met de optie “Installeren vanuit een git-repository”, genereert Discourse automatisch een 2048-bits RSA SSH-sleutelpaar dat de gebruiker als deploy-sleutel kan toevoegen.
Onze privé Git-server (Gitea, hoewel dit ook van invloed zou zijn op elke beveiligingsbewuste Git-host) heeft een beveiligingsbeleid dat 2048-bits RSA-sleutels weigert, en een minimum van 3072 bits vereist. Dit is in lijn met moderne beveiligingsbest practices, aangezien 2048-bits RSA nu als de minimale standaard wordt beschouwd en wordt uitgefaseerd (NIST raadt aan om tegen 2030 over te stappen op sterkere algoritmen).
Functieverzoek:
Ik wil graag een verbetering van deze functie aanvragen om veiligere en flexibelere opties voor sleutelgeneratie te bieden. Idealiter zou de interface het volgende kunnen doen:
-
Genereer standaard een sterkere sleutel: Ga over op het genereren van Ed25519-sleutels, die veiliger, sneller en beter compatibel zijn met moderne beveiligingsbeleidslijnen dan 2048-bits RSA.
-
Bied een configuratieoptie: Sta beheerders toe om het voorkeurs-SSH-sleutelalgoritme en de sterkte te specificeren (bijvoorbeeld in
discourse.conf) met opties zoalsrsa:3072,rsa:4096ofed25519.
Bedankt voor het overwegen van deze verbetering. Ik geloof dat dit een waardevolle verbetering zou zijn voor de beveiliging en professionaliteit van het Discourse-platform.