[LPIC 303][暗号化] 指摘・質問 まとめ

この質問の投稿一覧へ

なし [LPIC 303][暗号化] 指摘・質問 まとめ

msg# 1
depth:
0
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2021-6-13 10:03
tnishita2  長老   投稿数: 123
他のユーザーの投稿が埋もれてしまわないよう、主題「暗号化」でまとめて投稿します。

■問題ID : 10842,10874など

参考URL にて

> OpenSSL:manpages「ca」
> https://www.openssl.org/docs/manmaster/man1/ca.html



> OpenSSL:manpages「verify」
> https://www.openssl.org/docs/manmaster/man1/verify.html

のようにリンクしていますが、リンク先に書かれているようにopenssl のサブコマンドのman は例えばca ならman ca ではなくman openssl-ca として
https://www.openssl.org/docs/manmaster/man1/openssl-ca.html
で見る形に変わっていますので、更新したほうがよいかもしれません。

■問題ID : 10645

解説に

> 「SSLUseStapling」はVirtualHostセクション内に、「SSLStaplingCache」はVirtualHostセクション外に定義する必要があります。

とありますが、SSLUseStapling のドキュメント
https://httpd.apache.org/docs/trunk/mod/mod_ssl.html#sslusestapling
には

> Context:  server config, virtual host

とあります。SSLUseStapling はVirtualHost セクション外(server config)に定義してもいいようです。

■問題ID : 10659

質問です。「秘密鍵はアクセス権を厳しくして、サーバ内に保管するのがよい」が不正解になっていて、その解説にて

> また、再作成・更新時においても、上位の権威サーバへ再登録するなどコストの高い作業になるため、ネットワークに接続されていないコンピュータや外部記録媒体などに保存するなど、鍵の漏洩は避けるべきです。

とあります。しかし、秘密鍵は使用するマシン上で生成し、そこから動かさずに(そこに保管したまま)使うのが普通と思っていました。

例えばopenssh クライアントの秘密鍵は、生成したそのマシンの~/.ssh/ に保管したままにしますよね。DNSSEC で使用する秘密鍵は、サーバー内に保管しておかないのが普通なのでしょうか。

※ もちろん、サーバー内に置いておくことに加えて、他にバックアップもしてよいのはわかります。ひょっとしてこの問題における「保管」というのは別途バックアップすることを指すのでしょうか。問題文からそうは読み取れなかったのですが…。

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.