Princípios
- Confidencialidade: a chave privada (KEY) não deve sair do servidor, nem ser enviada por e-mail.
- Integridade: versionar apenas materiais públicos (CRT/CA), nunca a KEY em repositórios.
- Disponibilidade: tenha backup seguro das chaves.
Permissões e propriedade
# Linux — exemplo recomendado chmod 600 /etc/ssl/private/exemplo.com.br.key chown root:root /etc/ssl/private/exemplo.com.br.key
Backups
- Criptografe o armazenamento de backups.
- Mantenha pelo menos 2 cópias, em locais distintos.
Rotação e ciclo de vida
- Rotacione chaves periodicamente (em renovações importantes).
- Revogue certs antigos quando necessário e remova arquivos obsoletos.
Acesso
- Restringir acesso apenas a quem precisa (princípio do menor privilégio).
- Registre auditoria de quem acessa e quando.