Мне просто интересно, что произойдет, если утечка личного ключа CA? Разве тогда не будет возможности сделать поддельные сертификаты для любого другого сайта?
4 ответа
12
Вопрос:
Что произойдет, если утечка личного ключа ЦС?
Встречайте ответ:
сделать поддельные сертификаты для любого другого сайта
7
Да.
Verisign и другие доверенные корневые органы обеспечивают надежную защиту своих ключей, поскольку весь их бизнес зависит от наличия надежного сертификата.
Если произойдет утечка, то вскоре Microsoft, Mozilla и другие поставщики, которые ведут списки доверенных ЦС, удалят скомпрометированный сертификат из своих списков доверенных сертификатов, однако риск все равно будет.
5
На самом деле, если бы у вас был личный ключ CA, вы могли бы сделать реальные, но нелегитимные сертификаты. В них не было бы ничего фальшивого, кроме того, что они не были бы сделаны СА.
Предположительно те люди, которые поддерживают списки доверенных сертификатов CA, удалят скомпрометированный ключ, и CA должен будет создать новый ключ (тривиальный), убедиться, что он более безопасный (определенно не тривиальный), и распространять новые сертификаты. Между тем не каждый получит новый список без старого корневого сертификата, но с новым корневым сертификатом, а инфраструктура сертификатов будет еще более шаткой, чем сейчас.
2
В случае утечки секретного ключа для CA они, скорее всего, отзовут ключ. Это предполагает, что вы говорите об одном из ключей, которые использует ЦС. Обычно ЦС имеет главный ключ, который подписывает несколько других ключей, которые используются доверенными органами, уполномоченными подписывать CSR для клиентов.
Если ЦС потерял свой закрытый ключ корневого уровня, используемый для подписи, то любой, кто его использует, может создать поддельный сертификат, и SSL будет в значительной степени бесполезен, пока все браузеры не выпустят обновление с новым списком доверенных ЦС.