Ich verwende derzeit ein Server-SSL-Zertifikat ohne Passphrase, damit Apache unbeaufsichtigt gestartet werden kann.
Es gibt Anzeichen von Kunden, dass wir das SSL-Zertifikat sicherer schützen müssen. Ich bin mir noch nicht sicher, was sie anstreben, aber im Moment wollen sie wohl kein ungeschütztes SSL-Zertifikat auf der Festplatte. Ich nehme an, ich kann es nicht vermeiden, es im Gedächtnis von Apache zu haben, aber nehmen wir an, dass das akzeptabel ist.
Ich habe mir ein ausgeklügeltes System ausgedacht, um die Passphrase im Speicher eines Prozesses auf einem internen Server (dh nicht auf dem Front-Line-Webserver) zu speichern und sie mithilfe eines Apache SSLPassPhraseDialog ( http ) an den Front-Line-Server zu übergeben : //httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog ). Auf dem internen Server muss beim Start die Passphrase eingegeben werden, und für eine hohe Verfügbarkeit sind mehrere solcher Server im Lastenausgleich vorhanden.
Meine Frage ist:
- Wie schützen die "großen Jungs" ihr SSL-Zertifikat? Erzwingen sie nur, dass ihre Daten beim Neustart des Servers die Passphrase eingeben, oder halten sie sie wie den Rest von uns unverschlüsselt?
- Meine Erfahrung mit Open Source ist, dass es eine sehr gute Chance gibt, dass jemand das Problem, mit dem ich konfrontiert bin, bereits gelöst hat - ist ein solches System bereits verfügbar?
- Wäre es aus geschäftlicher Sicht vernünftig zu sagen, dass wir das Zertifikat unverschlüsselt lassen und nur über schnelle Verfahren verfügen, um es bei Diebstahl zu widerrufen?
quelle
Ich würde sagen, dass die "großen Jungs" SSL-Offloading auf Cluster-Front-End-Load-Balancer durchführen, da ich das tue und nicht annähernd ein "großer Junge" bin.
Ich habe diese Anweisungen auf httpd.apache.org zum Entfernen des Passphrasendialogs gefunden, den Sie wahrscheinlich gesehen haben, wenn Sie das Problem gegoogelt haben, von dem ich annehme, dass Sie es haben.
Das Problem beim Widerruf besteht darin, dass Sie der unterzeichnenden Zertifizierungsstelle ausgeliefert sind, um sich zu beeilen und Ihr Problem zu lösen. Wenn Sie viel für Ihre Zertifikate bezahlen, bin ich sicher, dass der Service sehr positiv ist. Ich bin mir nicht sicher, wie es für einige der kleineren Großhändler sein würde. Vielleicht könnte sich jemand anderes einschalten.
quelle