У меня есть простой веб-сайт с ssl-сертификатом, и я заметил, что когда я перезагружаю apache, он запрашивает парольную фразу (что приводит к остановке сервера).
Чтобы удалить его, я сделал следующее (исправил проблему после перезагрузки)
openssl rsa -in foo.key -out foo.key.nopass
У меня вопрос: снижает ли это эффективность моего ssl-сертификата?
При нормальной работе (т. Е. С зашифрованным закрытым ключом) закрытый ключ известен работающему веб-серверу, но отсутствует на диске. Чтобы получить копию закрытого ключа, злоумышленнику придется взломать работающий веб-сервер.
Если вы оставите закрытый ключ на диске постоянно расшифрованным, тогда (при условии, что у вас жестко установлены разрешения) злоумышленнику нужно только подорвать файловую систему.
Но, как вы заметили, оставлять зашифрованный ключ на диске дорого: перезапуск без присмотра невозможен. Только вы можете сказать, оправдывает ли дополнительная безопасность, обеспечиваемая зашифрованным ключом на диске, дополнительные затраты.
Что касается меня, я подозреваю, что любой, кто может нарушить защиту файловой системы, вероятно, в любом случае может прочитать память вашего веб-сервера (подумайте /proc/kcore), и, таким образом, сложность извлечения дешифрованного ключа из карты памяти работающего сервера является единственной дополнительной защитой, обеспечиваемой шифрованием ключа. Я склонен предполагать, что злоумышленники умны, поэтому дополнительная безопасность довольно мала.