我有一个单一的VPS运行几个网站,也是我的ZNC IRC保镖。 我为我的所有子域名购买了通配符SSL证书(这很愚蠢,只是购买多个单域证书要便宜得多,但无论如何)。
除了实际的IRC连接,我有nginx处理所有的TLS。 据我所见,没有办法在ZNC之前获得nginx的非http连接。 所以我在运行ZNC的znc用户可以读取的.pem中有我的私钥和证书的副本。
我相信nginx不会有比我信任ZNC更多的关键泄露缺陷。 这不是我认为ZNC是邪恶的,我只是假设nginx开发人员正在考虑更多。
我担心太多了吗? 通过授予非特权帐户读取我的通配符私钥来暴露自己有什么风险? 我应该购买单独的IRC使用证书吗? 我错了,nginx可以代理上游的非HTTP连接?
也许你可以使用诸如stud , stunnel之类的东西来解开TCP层的TLS,然后再将stream量传递给你的ZNC上游。 我build议你先尝试使用ZNC Webstream量(大量的HTTPS解包示例),但解包应该同样适用于其他支持SSL / TLS的协议,如irc。
这就是说,你是偏执狂。 如果你面对的是一个通过znc漏洞攻击你的证书的攻击者,他们能做些什么呢? MITM服务共享相同的证书? 这是一个三信机构的领土,可以在很大程度上减轻$ 10为一个主机证书。