Zum Hauptinhalt springen

4. Sicherheitsüberlegungen

4. Sicherheitsüberlegungen

Das Speichern kryptografischer Schlüssel in Dateien macht sie verwundbar, wenn jemand Lesezugriff auf das Dateisystem erhält, in dem sie gespeichert sind. Dieselben Schutzmechanismen, die für den PEM-codierten privaten HTTPS-Zertifikatsschlüssel eines Servers verwendet werden, sollten auch für die PEM-ECH-Konfiguration verwendet werden.

Die Sicherheitsüberlegungen aus [RFC9848] gelten beim Abrufen einer ECHConfigList aus dem DNS. Zur Klarstellung: Nur die ECHConfigList darf im DNS veröffentlicht werden; der private Schlüssel aus einer ECH-PEM-Datei darf nicht im DNS veröffentlicht werden.