0
從安全角度給網絡服務訪問站點的SSL證書私鑰是否可以?訪問SSL證書的私鑰
編輯:在問題中添加一些上下文 在此link的「使用RSA加密cookie」部分的第4步中,代碼使用「serviceCertificate」對cookie進行加密和簽名。這裏需要訪問證書的私鑰。
A
回答
1
除了絕對必要的之外,最安全的方法是不要有任何訪問權限。在密鑰管理中訪問祕密密鑰和私鑰非常重要。爲了確保不引入漏洞,不要在其用例外使用私鑰也很重要(例如,SSL中的身份驗證與簽名數據不同)。
安全性是關於圖層的。可以引入越多且更好的安全層,就越安全。限制訪問是非常重要的。所以如果可以避免的話,不要混合你的傳輸層和應用層。
在我們公司,我們總是爲不同的用途創建單獨的證書。我們嘗試在不同的服務器上保留SSL處理和應用程序處理。應用程序服務器僅獲取認證詳細信息。
也就是說,我在一家專注於安全性的公司工作。您顯然可以使用較不嚴格的安全性,但如果您對其周圍的安全策略進行了深思熟慮,這是一件好事。如果你不確定,請聘請顧問。
1
如果你的意思是像apache這樣的服務......你別無選擇。另一種方法是在每次啓動時輸入密碼 - 但即使如此,軟件也可以訪問密鑰。
1
那麼,如果有人設法破解你的網頁腳本(通過SQL注入或其他),使得私鑰的副本被惡意黑客下載,那麼黑客將能夠建立虛假的SSL服務器,使你的SSL更加靈活。但是,爲了真正成功,黑客還需要注入僞造的DNS記錄,以便僞造服務器具有匹配的主機名。
話雖如此,很難不打開訪問私鑰到Web服務器本身 - 否則每次重啓Web服務器時都必須輸入私鑰密碼。
相關問題
- 1. SSL證書和私鑰(RSA)
- 2. SSL證書:公鑰或私鑰?
- 3. 訪問SSL證書的服務器上(私鑰)
- 4. 給Node.js訪問證書/私鑰
- 5. Amazom AWS ELB SSL證書私鑰和公鑰證書不匹配
- 6. 從Servlet訪問SSL私鑰
- 7. Tomcat godaddy ssl證書私鑰錯誤
- 8. SSL證書 - 根證書中私鑰的用途是什麼?
- 9. 使用SSL證書,私有密鑰和證書SSLCertificateChain
- 10. 推送ssl證書丟失鑰匙串中的私鑰
- 11. SSL:在鑰匙串中找不到證書「」及其私鑰
- 12. 訪問證書密鑰庫
- 13. 自簽名證書:私鑰問題
- 14. 從.NET 4.6訪問CNG證書的私鑰 - 未找到GetCngPrivateKey
- 15. 驗證SSL證書來驗證訪問我們的私人API的服務?
- 16. 分配證書和私鑰
- 17. 證書私鑰缺失XCODE
- 18. 錯誤證書和私鑰
- 19. 發放iPhone證書私鑰?
- 20. 帶有express的socket.io中的SSL:缺少PFX或證書+私鑰。
- 21. IIS 6.0的SSL證書中沒有私鑰
- 22. 使用Windows上的私鑰導出SSL證書
- 23. 解析沒有私鑰的PKCS#7 SSL證書鏈(.p7b)?
- 24. 更新SSL證書時的私鑰更改
- 25. WPF調試證書無法訪問私鑰
- 26. 如何使用java從etoken訪問證書和私鑰
- 27. 從證書部署到Windows Azure訪問私鑰
- 28. 「無法找到解密的證書和私鑰」證書pfx pkcs#12私鑰
- 29. 驗證SSL證書/密鑰的格式
- 30. 將ssl證書,私鑰和中間證書封裝到單個pfx中?