我正在使用自签名证书运行本地HTTPS服务器。据我了解,它有两个部分,一个是实际证书,另一个是服务器设置https所需的私钥。
当前,我的证书和私钥都在服务器根目录下的文件夹中,并且两个文件路径都在服务器配置中进行了硬编码。它们也被推送到源代码管理,因此有权访问源代码管理的任何人都将能够读取证书文件和私钥文件。这听起来不是一个好主意。在开发环境中进行这样的设置是否可以?
将私钥保留在Web根之外并仅在运行时将路径传递给私钥是否是一个好习惯?
用密码保护私钥,然后将私钥推送到源代码管理,这是一个好习惯吗?
答案 0 :(得分:1)
从安全角度来说,意味着某些东西的私钥不应进入源代码控制。
仅在本地开发中用于非敏感数据的私钥可以在源代码控制中使用。毕竟,在没有HTTPS的情况下进行本地开发( )是相当普遍的做法。内部网络上的某人窥探了一下,发现“青蛙青蛙(Kermit the Frog)”写了一篇博客文章,标题为“布拉赫布拉赫(Blah blah blah)测试一二三”不是问题。