當有人知道（Web 伺服器/CA）的密鑰時會發生什麼？

基本上，我有三個問題，如果能簡要說明這些盜竊後果的差異，我將不勝感激：

1. 當有人知道 Web 伺服器的密鑰時會發生什麼？
2. 當有人知道簽署 Web 伺服器證書的 CA 密鑰時會發生什麼？
3. 當有人知道某個 CA 的密鑰時會發生什麼？

證書用於加密（這樣流量只能由所涉及的兩個對等方讀取）和簽名（以便您可以確定伺服器是與您連接的地址匹配的伺服器）。考慮到這兩個功能，我將嘗試簡要回答您的不同場景：

1. 當有人知道 Web 伺服器的密鑰時會發生什麼？

1. 如果擷取到 HTTPS 服務的流量（過去、目前和未來），可能會被解密，從而暴露憑據等敏感數據。

2. 當有人知道簽署 Web 伺服器證書的 CA 密鑰時會發生什麼？

2. 攻擊者可能能夠簽署新證書，並且認為簽署您的 Web 伺服器的 CA 的客戶端將信任它。通過這種方式，複製的門戶可以冒充您的服務，通過被證明是您的服務，而不是您的服務。

3. 當有人知道某個 CA 的密鑰時會發生什麼？

3. 這個比較棘手，並且是第 2 項的一般情況。問題是，使用受信任的 CA 私鑰，您可以簽署證書，並且它們將受到已經信任該 CA 的客戶端的信任。這裡有兩種不同程度的妥協： 如果中間 CA 密鑰洩露，您始終可以使用根密鑰撤銷它。但是，如果根密鑰被洩露，該 CA 已經完成，如果您想要一個值得信賴的簽名者，您必須啟動一個新 CA，這就是為什麼通常建議 CA 的根密鑰受到非常好的保護，您可以生成中間簽名，然後使用 root 密鑰對伺服器進行氣隙或斷電。

當您談論大型 CA（Comodo、VeriSign 等）時，可信賴性對它們至關重要，一旦系統信任它們，停止信任它們將需要軟體更新。許多這些 CA 醜聞實際上已經終止了整個公司，例如：StartSSL 和 DigiNotar。

希望能幫助到你。問候

引用自：https://serverfault.com/questions/940521