Нужно ли защищать строку подключения в web.config?

Итак, я использую строки подключения в своем web.config, используя аутентификацию SQL.

Конечно, люди говорят, что это может быть уязвимость, поскольку вы храните пароль в открытом виде.

Однако, насколько мне известно, IIS никогда не обслуживает web.config, а web.config в любом случае должен иметь доступ на чтение только для администраторов и IIS. Поэтому, если хакер получил доступ к веб-серверу, то не имеет значения, какое шифрование я использую, потому что закрытый ключ будет на веб-сервере.

Не будет ли шифрование строки подключения классифицироваться как безопасность посредством обфускации?

Стоит ли шифровать строку подключения web.config и хранить закрытый ключ на веб-сервере?

Кроме того, конечно, если я не использую SSL, я передаю строку подключения через HTTP в виде открытого текста. Если я использую SSL, эта проблема также должна быть смягчена.