Смотрите. Самое главное хранить в безопасном месте.
Если .env
лежит на прод сервере в непубличной папке - то зачастую это считается достаточно безопасным местом. Ведь туда попадёт только администратор сервера или ответственный за деплой. Эти люди могут иметь доступ.
Считается очень плохой практикой хард кодить эти ключи в код, а также добавлять .env
в репозиторий.
Поэтому, если у вас этот файл не в репозитории, а вы его настроили и создали на сервере в не публичной (с тчк зрения вбе сервера) папке - то всё ок.