<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Igor and Maxim positions, I suppose, are based on the fact that, unless using an external system to authenticate the user of a certificate, storing both certificate + passphrase on thel same system, accessed by the same user (the one running nginx which loads the certificate and needs to decrypt it) has the same level of security that dealing with an unencrypted certificate and provide a false sense of securilty.<br>


<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Isolation of independent parts of a security system is a very basic notion of security based on common sense. The standards you quote are based on those.<br>


</div><div class="gmail_extra"><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font>
</div></div>