服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从ssl证书中删除密码是否是好习惯?
Intereting Posts
SBS迁移:将电子邮件发送到olddomain.local地址时的NDR 如何在可能的DDoS攻击中正确丢弃ICMPtypes3的数据包? 在Debian VPS上使用php-fpm和nginx时空白的PHP页面 允许在iptable中访问8080端口 如何从Windows Server 2003stream媒体服务器streamDIVX等文件? 阿帕奇小孩因不明原因死亡 在我的networking上使用java 7 se安全吗? Java 7与Java 6兼容吗? 针对反向代理SNI不匹配的Apache远程代理 使用工头时,我必须重新启动哪些服务才能在puppet.conf中更改configuration更改? 如何在Windows XP中使用psexec 如何在远程机器IIS 6上添加虚拟目录 Nagios检查失败:UWSGI CRITICAL:无法连接()到工作正在进行操作 PowerShell – 查找所有用户的组成员并将其踢出 不使用cd / dvd-rom安装debian configuration文件和ssh密钥正在重置

从ssl证书中删除密码是否是好习惯?

现在我已经在几个博客上读过,应该从SSL证书中删除密码,以避免在Apache重新启动时出现密码提示。

这是真的,这是否构成任何安全风险?

是的,它将停止启动Web服务器时提示发送到terminal。

是的,它确实构成安全风险,因为在证书被encryption之前,它现在是纯文本。 这意味着可能从机器上窃取完整的工作证书。

这是否对您造成重大的安全风险取决于如果发生在您身上的后果是什么,以及您以这种方式获得什么收益。

如果对你来说更重要的是,服务应该优雅地重启,即使无人照pipe,整个SSL系统的安全性也是一个直接的答案。

就我个人而言,我发现保持SSL证书的解密副本总体上比我的典型工作负载更有利,因此为什么;

  1. 即使encryption,攻击者仍然会拥有证书的副本,所以无论如何您都有责任撤销证书。
  2. 现在,攻击者通过社交工程获取有效的证书比盗取工作副本要容易得多。
  3. 证书自然会过期,使得攻击面受到限制。
  4. 基于主机的安全系统(如传统权限和SELinux)为保护平台上的证书提供了强有力的手段。
  5. 证书不是一个安全系统的全部和最终的全部。 还有其他许多方面需要考虑,例如您存储的数据,存储的媒体以及数据的价值和/或个人性质。

可能会让我encryption的东西:

  1. 如果您使用证书执行相互身份validation。
  2. 它是一个通配符证书或一个承载多个域名的证书(丢失双倍,三倍,或者其他许多主机可以使用的损失)
  3. 证书是以其他方式多用途的。
  4. 证书的目的是确保完整的高价值数据(病历,金融交易等)。
  5. 另一方期望高度信任和/或依赖于您的系统的完整性作出经营决策。

最终,不要依赖其他人为你做出安全决定。 您需要权衡风险,并尽可能多地使用信息来确定最适合您和您的机构的信息。

它提供了更多的安全性,但实际情况是,如果有人已经足够远地访问您的系统,以访问您的私有SSL密钥,则可能会遇到更大的问题。

从实际angular度来看,你是否真的希望每次都需要重启apache来input密码?

你可以做的一件事是保持你的服务器上的密钥不被保护(并通过正常的系统安全来保护它),并用密码保存你在其他地方存储的密钥的备份。 因此,如果有人能够从服务器以外的地方取消密钥(更有可能的是,认为某些笔记本电脑在桌面上被偷了),它仍然受到保护。

用于login的Cient密钥应该受密码保护。

如果您希望在不需要手动干预的情况下重新启动基于SSL的服务,则有两种select

  1. 没有密钥的密钥,并保护它,使只有需要它的服务可以访问它。
  2. 在服务器上以纯文本或纯文本格式存储密码,以便需要它的服务可以提供密码。 (您可能会在安全性较差的configuration文件中得到多个密码副本。)

密钥的备份副本应该受密码保护并保护,就好像它们没有密码保护一样。