Frage:
Was passiert, wenn der private Schlüssel einer Zertifizierungsstelle durchgesickert wird?
Antwort treffen:
Machen Sie gefälschte Zertifikate für jede andere Website
Ich habe mich nur gefragt, was passiert, wenn der private Schlüssel einer Zertifizierungsstelle durchgesickert wird? Ist es dann nicht möglich, gefälschte Zertifikate für andere Websites zu erstellen?
Frage:
Was passiert, wenn der private Schlüssel einer Zertifizierungsstelle durchgesickert wird?
Antwort treffen:
Machen Sie gefälschte Zertifikate für jede andere Website
Ja.
Verisign und andere vertrauenswürdige Stammberechtigungen schützen ihre Schlüssel stark, da ihr gesamtes Unternehmen auf ein vertrauenswürdiges Zertifikat angewiesen ist.
Sollte ein Leck auftreten, würde es nicht lange dauern, bis Microsoft, Mozilla und die anderen Anbieter, die Listen vertrauenswürdiger Zertifizierungsstellen führen, das beschädigte Zertifikat aus ihren Listen vertrauenswürdiger Zertifikate entfernen würden. Das Risiko wäre jedoch immer noch vorhanden.
Wenn Sie über den privaten Schlüssel einer Zertifizierungsstelle verfügen, können Sie tatsächlich echte, aber unzulässige Zertifikate erstellen. Es wäre nichts Falsches an ihnen, außer dass sie nicht von der CA gemacht würden.
Vermutlich würden Personen, die Listen vertrauenswürdiger Zertifizierungsstellenzertifikate führen, den gefährdeten Schlüssel entfernen, und die Zertifizierungsstelle müsste einen neuen Schlüssel (trivial) erstellen, sicherstellen, dass dieser sicherer ist (definitiv nicht trivial), und neue Zertifikate verteilen. In der Zwischenzeit würde nicht jeder die neue Liste ohne das alte Root-Zertifikat, sondern mit dem neuen Root-Zertifikat erhalten, und die Zertifikat-Infrastruktur wäre noch wackeliger als jetzt.
Wenn ein privater Schlüssel für eine Zertifizierungsstelle durchgesickert wurde, würden sie den Schlüssel wahrscheinlich widerrufen. Dies setzt voraus, dass Sie über einen der von einer Zertifizierungsstelle verwendeten Schlüssel sprechen. Normalerweise hat eine Zertifizierungsstelle einen Hauptschlüssel, der mehrere andere Schlüssel signiert, die von vertrauenswürdigen Behörden verwendet werden, die zum Signieren von CSRs für Kunden berechtigt sind.
Wenn eine Zertifizierungsstelle ihren privaten Schlüssel auf Root-Ebene verloren hat, der zum Signieren verwendet wurde, könnte jeder, der sie verwendet, ein gefälschtes Zertifikat erstellen, und SSL wäre praktisch nutzlos, bis alle Browser ein Update mit einer neuen Liste vertrauenswürdiger Zertifizierungsstellen veröffentlicht haben.