我有一个简单的网站与SSL证书,我注意到,当我重新启动Apache是要求密码(导致服务器本质上停止)。
我做了以下删除它(解决我的问题W /重新启动)
openssl rsa -in foo.key -out foo.key.nopass
我的问题是,这是否以任何方式降低我的SSL证书的有效性?
在正常操作中(即使用encryption的私钥),私钥对运行的Web服务器是已知的,但不在盘上。 为了得到私钥的副本,攻击者将不得不颠覆正在运行的web服务器。
如果您将私钥永久解密到磁盘上,那么(假设您有权限设置权限),攻击者只需要破坏文件系统。
但正如您所观察到的,将密钥保存在磁盘上需要付出一定的代价:无法重启是不可能的。 只有您可以说通过离开在盘上encryption的密钥提供的附加安全性是否certificate了额外的成本。
对我自己来说,我怀疑任何能够破坏文件系统保护的人都可能会读取你的web服务器的内存(think /proc/kcore ),因此从正在运行的服务器的内存映射中提取解密密钥的困难是唯一的附加通过encryption密钥提供的保护。 我倾向于认为攻击者是聪明的,所以使得额外的安全性相当小。