开发人员签名凭证的风险
开发人员签名凭证的风险
提问于 2019-08-29 02:25:47
根据Identityserver4文档,顾名思义,AddDeveloperSigningCredential仅用于开发目的。我发现有几篇文章描述了切换到更适合生产环境的其他签名证书的过程。我的问题是,为什么需要切换?生成的开发人员签名凭证是否在某种程度上不安全,如果是,可以利用的攻击载体是什么?如果我通过nginx反向代理运行我的身份服务器,并通过负载均衡器使用aws云签名凭证,该怎么办?这是否充分解决了暴露的攻击向量?简而言之,在生产中使用开发人员签名凭据有什么风险?
回答 1
Stack Overflow用户
回答已采纳
发布于 2019-08-30 00:05:51
从安全的角度来看,生成的RSA密钥(2k)完全没问题--与“生产密钥”相比,你不会得到“糟糕的加密”。
dev签名密钥的主要问题是它是从本地硬盘加载的-特别是(默认情况下)从应用程序目录加载。
您应该有一个更安全的密钥存储位置(例如,Windows证书存储或一些存储服务),以便在攻击者可以从应用程序服务器硬盘读取文件的情况下,无法轻松恢复私钥。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/57698170
复制相关文章
相似问题
腾讯云开发者
