【发布时间】:2017-01-19 09:22:11
【问题描述】:
我想构建一个 LAMP 堆栈解决方案来交付安全内容,但我不想知道该内容是什么。我已经解决了文件加密问题,但我现在遇到了将安全内容传输到远程浏览器进行查看的问题。我想避免像 Mega 那样发送加密文件,我想使用带有强 SSL 的 HTTPS。
对整个域使用单个 SSL 证书可以让我(证书所有者)解密流。
我想通过为每个用户提供一个 SSL 证书来解决这个问题,该证书在服务器端由用户密码加密。
我必须解决的唯一问题是如何让一个域以某种方式使用多个 SSL 证书。如何做到这一点?
我愿意使用 Ngnix,但更愿意使用 Apache。
【问题讨论】:
-
这看起来非常不可行。 SSL 证书必须由权威机构验证,并且仍然非常永久,不能真正“即时”生成。也许有人知道得更好,但这听起来不对。
-
如果您通过 HTTPS 从您的 Web 服务器发送未加密的文件,您作为该服务器的操作员也将能够看到数据。不用截流,看服务器即可。如果您想让自己无法读取文件,则需要进行端到端加密(这意味着文件是加密发送的,而解密发生在客户端应用程序中)。
-
我不打算使用来自根授权的 SSL 证书,我打算设置自己的 CA、中间 CA 和自签名。这个想法是为了保证安全,我不能真正保证 NSA 现在没有损害几个根/中介。我正在将文件解密到 RAM 中,然后发送它们。我让自己很难获得未加密的内容,这就是我的想法。我们可以不用管其他东西的技术细节吗?如何在一个域上使用多个 SSL 证书?
-
这对您来说有什么困难?如果您有能力解密文件,那么您就有能力。这意味着您可以访问解密密钥,您需要存储它们,您可能会被黑客入侵并且可能被盗。只在 RAM 中存储纯文本是无关紧要的。
-
我投票决定将此问题作为离题结束,因为您可能会在 crypto.stackexchange.com 上获得更好的答案(并且您应该真正将整个解决方案纳入讨论,而不仅仅是关注 HTTPS 细节)。