gio*_*o79 10 ssl-certificate apache-2.2
我现在在几篇博客中读到,应该从 SSL 证书中删除密码,以避免在 Apache 重新启动期间出现密码提示。
这是真的吗,这是否会带来任何安全风险?
Mat*_*Ife 22
是的,它会在启动 Web 服务器时停止向终端发送提示。
是的,它确实存在安全风险,因为在证书加密之前,它现在是纯文本格式。这意味着有可能从机器上窃取一个完全有效的证书。
这是否对您构成重大安全风险取决于如果它发生在您身上会产生什么影响以及您通过这种方式获得什么。
如果对您来说,即使无人看管,服务也应该优雅地重新启动比 SSL 系统的整体安全性更重要,那么这是一个直接的答案。
就我个人而言,我发现保留 SSL 证书的解密副本总体上对我的典型工作负载来说利大于弊,原因如下;
可能让我加密的事情:
最终,不要依赖他人为您做出安全决策。您需要权衡风险,并使用尽可能多的信息来确定什么对您和您的机构最有利。
它提供了更多的安全性,但实际情况是,如果有人已经深入到您的系统中以访问您的私有 SSL 密钥,那么您可能会遇到更大的问题。
从实际的角度来看,您真的希望每次需要重新启动 apache 以输入密码时都在那里吗?
您可以做的一件事是在您的服务器上保持密钥不受密码保护(并通过正常的系统安全保护它)并使用密码保留您存储在其他地方的密钥的备份。因此,如果有人能够从您的服务器以外的其他地方废弃密钥(更有可能,认为有人的笔记本电脑在他们的台式机上被盗)它仍然受到保护。
归档时间: |
|
查看次数: |
1049 次 |
最近记录: |