Где мне хранить конфиденциальные переменные?

Я впервые работаю над безопасным веб-сайтом. Это для моего любимого проекта.

В целях безопасности, где лучше всего хранить такую ​​информацию, как строки подключения SQL, ключи шифрования базы данных и т. Д.? Что лучше: использовать web.config, хранить их в классе, который обращается к базе данных (например, dataBaseHelper.cs или что-то в этом роде), или где-то еще?

Я также собираюсь получить сертификат SSL. Должен ли я всегда использовать безопасное соединение при связи с базой данных?