0
从安全角度给网络服务访问站点的SSL证书私钥是否可以?访问SSL证书的私钥
编辑:在问题中添加一些上下文 在此link的“使用RSA加密cookie”部分的第4步中,代码使用“serviceCertificate”对cookie进行加密和签名。这里需要访问证书的私钥。
A
回答
1
除了绝对必要的之外,最安全的方法是不要有任何访问权限。在密钥管理中访问秘密密钥和私钥非常重要。为了确保不引入漏洞,不要在其用例外使用私钥也很重要(例如,SSL中的身份验证与签名数据不同)。
安全性是关于图层的。可以引入越多且更好的安全层,就越安全。限制访问是非常重要的。所以如果可以避免的话,不要混合你的传输层和应用层。
在我们公司,我们总是为不同的用途创建单独的证书。我们尝试在不同的服务器上保留SSL处理和应用程序处理。应用程序服务器仅获取认证详细信息。
也就是说,我在一家专注于安全性的公司工作。您显然可以使用较不严格的安全性,但如果您对其周围的安全策略进行了深思熟虑,这是一件好事。如果你不确定,请聘请顾问。
1
如果你的意思是像apache这样的服务......你别无选择。另一种方法是在每次启动时输入密码 - 但即使如此,软件也可以访问密钥。
1
那么,如果有人设法破解你的网页脚本(通过SQL注入或其他),使得私钥的副本被恶意黑客下载,那么黑客将能够建立虚假的SSL服务器,使你的SSL更加灵活。但是,为了真正成功,黑客还需要注入伪造的DNS记录,以便伪造服务器具有匹配的主机名。
话虽如此,很难不打开访问私钥到Web服务器本身 - 否则每次重启Web服务器时都必须输入私钥密码。
相关问题
- 1. SSL证书和私钥(RSA)
- 2. SSL证书:公钥或私钥?
- 3. 访问SSL证书的服务器上(私钥)
- 4. 给Node.js访问证书/私钥
- 5. IIS 6私钥证书访问
- 6. Amazom AWS ELB SSL证书私钥和公钥证书不匹配
- 7. 从Servlet访问SSL私钥
- 8. Tomcat godaddy ssl证书私钥错误
- 9. SSL证书 - 根证书中私钥的用途是什么?
- 10. 使用SSL证书,私有密钥和证书SSLCertificateChain
- 11. 推送ssl证书丢失钥匙串中的私钥
- 12. 访问证书密钥库
- 13. 从.NET 4.6访问CNG证书的私钥 - 未找到GetCngPrivateKey
- 14. 验证SSL证书来验证访问我们的私人API的服务?
- 15. 错误证书和私钥
- 16. 发放iPhone证书私钥?
- 17. 证书私钥缺失XCODE
- 18. 分配证书和私钥
- 19. 使用Windows上的私钥导出SSL证书
- 20. IIS 6.0的SSL证书中没有私钥
- 21. 解析没有私钥的PKCS#7 SSL证书链(.p7b)?
- 22. 如何使用java从etoken访问证书和私钥
- 23. 从证书部署到Windows Azure访问私钥
- 24. WPF调试证书无法访问私钥
- 25. 验证SSL证书/密钥的格式
- 26. “无法找到解密的证书和私钥”证书pfx pkcs#12私钥
- 27. 将ssl证书,私钥和中间证书封装到单个pfx中?
- 28. 使用公钥/私钥/证书限制对下拉URL的访问
- 29. 生成CSR&RSA私钥(用于SSL证书)
- 30. 我不想从SSL证书获得私钥