Ho un server web Node.JS HTTPS istanziato come segue:
var privateKey = fs.readFileSync('./../ssl/localhost.key').toString();
var certificate = fs.readFileSync('./../ssl/localhost.crt').toString();
https.createServer({
key: privateKey,
cert: certificate
}, server).listen(80, 'localhost');
La mia chiave privata è sul mio server che Node.JS legge per creare il server web HTTPS. Se un hacker ha accesso in lettura ai file del server, può accedere alla chiave privata e impersonare il server web.
La chiave privata dovrebbe essere memorizzata sul server? Dovrebbe essere distrutto una volta che il server HTTPS è stato istanziato?