我有一个简单的网站,带有 SSL 证书,我注意到当我重新启动 apache 时会要求输入密码(导致服务器基本上停止运行)。
我执行以下操作将其删除(修复了重启时出现的问题)
openssl rsa -输入 foo.key -输出 foo.key.nopass
我的问题是,这是否会降低我的 SSL 证书的有效性?
答案1
在正常运行(即使用加密私钥)中,私钥为正在运行的网络服务器所知,但并不存在于磁盘上。为了获取私钥的副本,攻击者必须破坏正在运行的网络服务器。
如果您将私钥不断解密在磁盘上,那么(假设您已严格设置权限)攻击者只需要破坏文件系统。
但正如您所观察到的,将密钥加密保存在磁盘上是有代价的:无人值守重启是不可能的。只有您才能说将密钥加密保存在磁盘上所带来的额外安全性是否值得额外的成本。
就我个人而言,我怀疑任何能够破坏文件系统保护的人可能都能读取你的网络服务器的内存(想想/proc/kcore
),因此从正在运行的服务器的内存映射中提取解密密钥的难度是加密密钥提供的唯一额外保护。我倾向于假设攻击者很聪明,因此额外的安全性相当小。