我有一个 VPS,上面运行着几个网站和我的 ZNC IRC 弹跳器。我为我的所有子域名购买了通配符 SSL 证书(这很愚蠢;如果只购买几个单域名证书,会便宜得多,但无论如何)。
我让 nginx 处理除实际 IRC 连接之外的所有 TLS。据我所知,没有办法让 nginx 位于 ZNC 前面以进行非 http/s 连接。因此,我拥有一份私钥和证书的副本,可供运行 ZNC 的用户.pem读取。znc
我相信 nginx 不会存在密钥泄露漏洞,而我相信 ZNC 的程度要高得多。我并不是认为 ZNC 是邪恶的,我只是认为 nginx 开发人员对此考虑得更多。
我是不是太担心了?如果让非特权帐户读取我的通配符私钥,我会面临什么风险?我应该为 IRC 购买单独的证书吗?我错了吗?nginx 可以将非 http 连接代理到上游吗?