Локальная разработка HTTPS: должен ли закрытый ключ быть введен в систему контроля версий? Должен ли он быть защищен паролем?

Question

Я использую локальный HTTPS-сервер, используя самозаверяющий сертификат.Насколько я понимаю, в нем есть две части: одна является действительным сертификатом, а другая - личным ключом, который требуется серверу для настройки https.

В настоящее время мой сертификат и личный ключв папке внутри корня сервера, и оба пути к файлам жестко заданы в конфигурации сервера.Они также передаются в систему контроля версий, поэтому любой, кто имеет доступ к системе контроля версий, сможет прочитать как файл сертификата, так и файл закрытого ключа.Это не похоже на хорошую идею.Разве можно иметь такую ​​настройку в среде разработки?

Будет ли хорошей практикой хранить закрытый ключ вне корневого веб-каталога и передавать путь к закрытому ключу только во время выполнения?

Было бы целесообразно защитить паролем закрытый ключ, а затем отправить закрытый ключ в систему контроля версий?

Answer 1

Закрытый ключ, который означает что-то с точки зрения безопасности, не должен входить в систему контроля версий.

Закрытый ключ, который используется только для нечувствительных данных в локальной разработке, подходит дляперейти в систему контроля версий.В конце концов, довольно распространенной практикой является локальная разработка без HTTPS вообще .Кто-то из вашей внутренней сети подглядывает и обнаруживает, что «Кермит-лягушка» написал статью в блоге под названием «Бла-бла-бла, тестируя один-два-три» - не проблема.