4. Sicherheitsüberlegungen
4. Sicherheitsüberlegungen
Das Speichern kryptografischer Schlüssel in Dateien macht sie verwundbar, wenn jemand Lesezugriff auf das Dateisystem erhält, in dem sie gespeichert sind. Dieselben Schutzmechanismen, die für den PEM-codierten privaten HTTPS-Zertifikatsschlüssel eines Servers verwendet werden, sollten auch für die PEM-ECH-Konfiguration verwendet werden.
Die Sicherheitsüberlegungen aus [RFC9848] gelten beim Abrufen einer ECHConfigList aus dem DNS. Zur Klarstellung: Nur die ECHConfigList darf im DNS veröffentlicht werden; der private Schlüssel aus einer ECH-PEM-Datei darf nicht im DNS veröffentlicht werden.