Security

當有人知道(Web 伺服器/CA)的密鑰時會發生什麼?

  • November 17, 2018

基本上,我有三個問題,如果能簡要說明這些盜竊後果的差異,我將不勝感激:

  1. 當有人知道 Web 伺服器的密鑰時會發生什麼?
  2. 當有人知道簽署 Web 伺服器證書的 CA 密鑰時會發生什麼?
  3. 當有人知道某個 CA 的密鑰時會發生什麼?

證書用於加密(這樣流量只能由所涉及的兩個對等方讀取)和簽名(以便您可以確定伺服器是與您連接的地址匹配的伺服器)。考慮到這兩個功能,我將嘗試簡要回答您的不同場景:

  1. 當有人知道 Web 伺服器的密鑰時會發生什麼?
  1. 如果擷取到 HTTPS 服務的流量(過去、目前和未來),可能會被解密,從而暴露憑據等敏感數據。
  1. 當有人知道簽署 Web 伺服器證書的 CA 密鑰時會發生什麼?
  1. 攻擊者可能能夠簽署新證書,並且認為簽署您的 Web 伺服器的 CA 的客戶端將信任它。通過這種方式,複製的門戶可以冒充您的服務,通過被證明是您的服務,而不是您的服務。
  1. 當有人知道某個 CA 的密鑰時會發生什麼?
  1. 這個比較棘手,並且是第 2 項的一般情況。問題是,使用受信任的 CA 私鑰,您可以簽署證書,並且它們將受到已經信任該 CA 的客戶端的信任。這裡有兩種不同程度的妥協: 如果中間 CA 密鑰洩露,您始終可以使用根密鑰撤銷它。但是,如果根密鑰被洩露,該 CA 已經完成,如果您想要一個值得信賴的簽名者,您必須啟動一個新 CA,這就是為什麼通常建議 CA 的根密鑰受到非常好的保護,您可以生成中間簽名,然後使用 root 密鑰對伺服器進行氣隙或斷電。

當您談論大型 CA(Comodo、VeriSign 等)時,可信賴性對它們至關重要,一旦系統信任它們,停止信任它們將需要軟體更新。許多這些 CA 醜聞實際上已經終止了整個公司,例如:StartSSL 和 DigiNotar。

希望能幫助到你。問候

引用自:https://serverfault.com/questions/940521