Есть ли какие-либо секретные ключи CA, такие как те, которые используются godaddy для выпуска пар закрытых / открытых ключей, скомпрометированных в результате сердечного кровотечения?

2 ответа2

1

Базовые требования для ЦС заявляют:

Компрометация ключа: считается, что закрытый ключ скомпрометирован, если ... существует практический метод, с помощью которого посторонний человек может обнаружить его ценность. ...

В разделе 3.1.5 также говорится:

CA ДОЛЖЕН отозвать сертификат в течение 24 часов, если произойдет одно или несколько из следующих событий:

...

13.CA осведомлен о возможной компрометации закрытого ключа подчиненного CA, используемого для выдачи сертификата;

Любой центр сертификации, который сохранил свои закрытые ключи, которые он использует для подписи на интерфейсном веб-сервере с поддержкой TLS (который использует уязвимую версию OpenSSL), должен был бы отозвать любые сертификаты, подписанные этим ключом, или столкнуться с возможным неудачным аудитом и последующим исключением из доверие к браузеру и т. д.

Тем не менее, нет никаких оснований полагать, что центры сертификации имеют ключи, которые они используют для подписи сертификатов, которые хранятся на общедоступных веб-серверах. Фактически, ключи для корневых сертификатов часто хранятся полностью в автономном режиме.

Что касается закрытых ключей интерфейсных веб-серверов (ключей, связанных с сертификатами, которые используются для аутентификации клиентов), они могут быть скомпрометированы.

0

Это очень трудно сказать наверняка, но это крайне маловероятно для любого авторитетного центра сертификации. Ни один CA, достойный их внимания, не ставит свои сертификаты CA где-нибудь рядом с общедоступным веб-сервером.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .