Back to blog
Посібник для розробників
5 хв

Як безпечно передавати SSH-ключі та сертифікати в команді

SSH-ключі надають повний доступ до сервера. Дізнайтеся, чому надсилання через Slack або пошту небезпечне і як використовувати секретні нотатки із закінченням терміну для безпечної одноразової передачі.

LOCK.PUB
2026-02-23

Як безпечно передавати SSH-ключі та сертифікати в команді

"Скинь SSH-ключ в Slack." Звичайне прохання у будь-якій команді розробки. Доступ до сервера потрібен терміново, новий співробітник налаштовує оточення, деплой за годину, а ключа немає.

Але це просте прохання може призвести до серйозного інциденту безпеки.

Чому SSH-ключі особливо небезпечні при витоку

SSH-ключ – це не звичайний пароль. Він дає повний доступ до сервера.

Параметр Пароль SSH-ключ
Область доступу Конкретний обліковий запис Весь сервер
Наслідки витоку Один обліковий запис Усі дані на сервері
Складність заміни Миттєва зміна Перегенерація + оновлення всіх серверів
Двофакторна автентифікація підтримується

Витік SSH-ключа означає доступ до всіх файлів, баз даних та коду на сервері.

Коли команді доводиться передавати ключі

  • Загальний доступ до серверів: staging- та production-сервери, до яких потрібен доступ всій команді
  • Деплой-ключі: ключі для CI/CD-пайплайнів
  • SSL-сертифікати: передача при зміні відповідального
  • API-секрети: інтеграція зі сторонніми сервісами
  • Облікові дані БД: екстрене реагування на збої

Небезпечні способи передачі

1. Slack/Telegram особисті повідомлення

Історія чатів зберігається на серверах безстроково. Будь-який може знайти ключ, просто набравши "ssh" або "key" у пошуку.

2. Електронна пошта

Завжди зберігається на поштових серверах. Одне пересилання - і контроль втрачено.

3. Загальний Google Drive/Notion

Гранулярне керування доступом утруднене. Локальні копії залишаються після синхронізації.

4. Коміт у Git-репозиторій

Найнебезпечніший спосіб. Ключ назавжди залишається в історії Git навіть після видалення файлу.

Безпечні способи передачі

Спосіб 1: Секретна замітка LOCK.PUB (найкращий варіант для одноразової передачі)

1. Створити секретну нотатку на LOCK.PUB
2. Вставити SSH-ключ або сертифікат
3. Встановити надійний пароль
4. Встановити мінімальний термін дії (1-4 години)
5. Посилання відправити до Slack, пароль повідомити телефоном
6. Після збереження ключа одержувачем посилання закінчується

Переваги:

  • Ключ не зберігається у відкритому вигляді на жодному сервері
  • Після закінчення терміну доступ неможливий
  • В історії чату не залишається тексту ключа

Спосіб 2: Менеджер секретів (для великих команд)

HashiCorp Vault, AWS Secrets Manager, Google Secret Manager.

Спосіб 3: SSH Certificate Authority (довгострокове рішення)

Розгорнути SSH CA, яка видає індивідуальні сертифікати кожному користувачеві.

Спосіб 4: Індивідуальні ключі (найрекомендованіший)

Принцип: Загальний ключ < Індивідуальні ключі
Витік загального ключа → Зачеплена вся команда
Витік особистого ключа → Доторкнувся лише один користувач

Чек-лист при необхідності передачі

Перед передачею

  • Область прав ключа мінімальна?
  • Чи достатньо ключа лише для читання?
  • Чи можна встановити обмеження щодо IP?

Під час передачі

  • Ключ і пароль відправляються різними каналами?
  • Термін дії максимально короткий?

Після передачі

  • Підтвердження безпечного збереження ключа одержувачем
  • Перевірка закінчення посилання/нотатки
  • Моніторинг журналів використання ключа

Графік ротації ключів

| Тип ключа Рекомендована ротація |-----------|----------------------| | Ключі production-серверів 90 днів | | Деплой-ключі | 90 днів | | SSL-сертифікати При кожному подовженні | | API-секрети 90 днів | | Ключі dev/staging 180 днів |

Чек-лист безпеки для DevOps-команди

  • Чи всі сервери використовують індивідуальні SSH-ключі?
  • У загальних ключів налаштовані обмеження щодо IP?
  • Ключі співробітників, що звільнилися, деактивуються відразу?
  • Чи є графік ротації ключів?
  • SSH-ключі ніколи не комітувалися в Git?
  • В історії чатів немає ключів у відкритому вигляді?
  • Для передачі секретів використовується канал із закінченням терміну?

Підсумки

SSH-ключі та сертифікати – основа серверної безпеки. Надсилати їх у особистих повідомленнях або поштою — все одно, що повісити ключ від дому на дошку оголошень. Видавайте індивідуальні ключі скрізь, де це можливо. Коли передача неминуча, використовуйте секретну нотатку із мінімальним терміном дії.

Створіть секретну замітку зараз для безпечної передачі SSH-ключів.

Створити секретну замітку

Keywords

передача SSH-ключів
безпека SSH-ключів
передача SSL-сертифікатів
управління деплой-ключами
секретна замітка розробник
безпека DevOps

You might also like

Як безпечно передати API-ключі та секрети команді

Дізнайтеся, як безпечно ділитися API-ключами, секретними ключами та змінними оточенням у команді розробки. Уникайте небезпечних методів та впроваджуйте найкращі практики управління секретами.

Посібник для розробників

Фішинг додатка Дія в Україні: як шахраї використовують цифрові держпослуги

Дізнайтеся, як фішингові атаки цілять на користувачів Дії в Україні — від підроблених державних сповіщень до крадіжки цифрових документів. Повний гід із захисту цифрової ідентичності.

Захист від шахрайства

SIM-свопінг: атаки на абонентів Київстар, Vodafone UA та lifecell

Як працює SIM-свопінг в Україні — атаки на абонентів Київстар, Vodafone та lifecell. Дізнайтеся, як злочинці перехоплюють номер для доступу до банкінгу та Дії.

Цифрова безпека

Create your password-protected link now

Create password-protected links, secret memos, and encrypted chats for free.

Get Started Free
Як безпечно передавати SSH-ключі та сертифікати в команді | LOCK.PUB Blog