Есть ли какие-либо секретные ключи CA, такие как те, которые используются godaddy для выпуска пар закрытых / открытых ключей, скомпрометированных в результате сердечного кровотечения?
2 ответа
1
Базовые требования для ЦС заявляют:
Компрометация ключа: считается, что закрытый ключ скомпрометирован, если ... существует практический метод, с помощью которого посторонний человек может обнаружить его ценность. ...
В разделе 3.1.5 также говорится:
CA ДОЛЖЕН отозвать сертификат в течение 24 часов, если произойдет одно или несколько из следующих событий:
...
13.CA осведомлен о возможной компрометации закрытого ключа подчиненного CA, используемого для выдачи сертификата;
Любой центр сертификации, который сохранил свои закрытые ключи, которые он использует для подписи на интерфейсном веб-сервере с поддержкой TLS (который использует уязвимую версию OpenSSL), должен был бы отозвать любые сертификаты, подписанные этим ключом, или столкнуться с возможным неудачным аудитом и последующим исключением из доверие к браузеру и т. д.
Тем не менее, нет никаких оснований полагать, что центры сертификации имеют ключи, которые они используют для подписи сертификатов, которые хранятся на общедоступных веб-серверах. Фактически, ключи для корневых сертификатов часто хранятся полностью в автономном режиме.
Что касается закрытых ключей интерфейсных веб-серверов (ключей, связанных с сертификатами, которые используются для аутентификации клиентов), они могут быть скомпрометированы.
0
Это очень трудно сказать наверняка, но это крайне маловероятно для любого авторитетного центра сертификации. Ни один CA, достойный их внимания, не ставит свои сертификаты CA где-нибудь рядом с общедоступным веб-сервером.