File Sertifikat SSL adalah kunci.
File Kunci Sertifikat SSL adalah kuncinya.
Menyimpan keduanya bersama-sama sama dengan menempelkan kunci Anda ke kunci di pintu depan Anda.
Jika seorang penyerang kompromi satu file mereka memiliki semua yang mereka butuhkan untuk berhasil menyamar sebagai situs web Anda (sertifikat, dan kunci pribadi).
Ini terutama benar jika Anda tidak memiliki kata sandi pada kunci SSL Anda (banyak server web tidak, untuk memungkinkan mereka memulai secara otomatis jika terjadi kerusakan).
Apa yang Anda pertahankan dengan memisahkan file adalah bug Apache yang menyebabkannya membuang konten SSLCertificateFile
(sesuatu yang seharusnya tersedia untuk umum) ke klien web.
(Setahu saya tidak ada bug seperti itu, atau pernah ada, tetapi Apache adalah perangkat lunak yang besar dan kompleks. Ini sepenuhnya mungkin.)
Jika Apache membuang file ini dan semua yang ada di dalamnya adalah Sertifikat SSL (kunci) tidak ada masalah: Semua orang mendapatkan salinan sertifikat itu ketika mereka tetap membuat permintaan SSL ke server.
Jika file tersebut berisi kunci juga Anda telah merusak peluang keamanan - seluruh model enkripsi Anda terganggu, dan Anda perlu mengubah kunci.
OpenSSL versi lama membutuhkan dua file terpisah (publik dan pribadi). Versi lama dari mesin crypto lainnya membutuhkan satu file (keduanya dalam file yang sama). Dalam "semangat" kompatibilitas (alias "kecurangan Admin tentang ketidakkonsistenan dan harus mempertahankan dua set sertifikat), sebagian besar sekarang mendukung keduanya.
Menyimpan kedua sertifikat (juga gantungan kunci) dalam satu file tidak disarankan karena sertifikat yang berbeda memiliki cakupan yang berbeda. Ini lebih merupakan masalah konsistensi daripada yang teknis, di mana sertifikat publik harus memiliki izin file yang dapat dibaca secara publik, dan sebaliknya untuk pribadi. Tidak ada bahaya dalam menjaga sertifikat publik Anda terkunci di sistem Anda, itu hanya tidak konsisten dengan tujuannya.
sumber