czy serce prywatne jest zagrożone?

0

czy masz klucze prywatne CA, takie jak klucze używane przez Godaddy do wydawania par kluczy prywatnych / publicznych narażonych na szwank w wyniku zawodu?

rory
źródło
1
@Rhound, klucze CA nie są takie same jak certyfikaty używane przez serwery, które są podpisane przez CA. Klucze prywatne CA nie powinny być znane serwerowi internetowemu, więc najprawdopodobniej nie zostały naruszone.
heavyd
Tęsknię za przeczytaniem pytania, choć autor pytał o certyfikat wydany przez CA.
Ramhound

Odpowiedzi:

1

The podstawowe wymagania dla stanu CA:

Kluczowy kompromis: mówi się, że klucz prywatny jest zagrożony, jeśli ... istnieje praktyczna technika, dzięki której nieupoważniona osoba może odkryć swoją wartość. ...

W sekcji 3.1.5 stwierdza się również:

CA MUSI cofnąć certyfikat w ciągu 24 godzin, jeśli wystąpi co najmniej jedno z następujących zdarzeń:

...

13. CA jest informowany o możliwym naruszeniu klucza prywatnego podrzędnego urzędu certyfikacji używanego do wystawienia certyfikatu;

Każdy urząd certyfikacji, który przechowuje klucze prywatne, których używa do podpisywania się na front-end Serwer WWW z włączoną usługą TLS (korzystający z podatnej wersji OpenSSL) musiałby odwołać wszelkie certyfikaty podpisane przez ten klucz lub stawić czoła ewentualnemu nieudanemu audytowi, a następnie wykluczeniu z zaufania do przeglądarki itp.

Nie ma jednak powodu, by sądzić, że urzędy certyfikacji mają klucze, których używają do podpisywania certyfikatów, przechowywane na publicznych serwerach internetowych. W rzeczywistości klucze do certyfikaty root są często przechowywane całkowicie offline.

Jeśli chodzi o klucze prywatne serwerów WWW (klucze związane z certyfikatami używanymi do uwierzytelniania klientów), to może być zagrożonym.

Anders J
źródło
0

Trudno powiedzieć na pewno, ale to niezwykle mało prawdopodobne dla jakiegokolwiek renomowanego CA. Żaden ośrodek warty swojej soli nie umieszcza swoich certyfikatów CA w pobliżu publicznego serwera WWW.

Sirex
źródło