我只是想知道如果 CA 的私钥泄露会发生什么?那么是否有可能为其他网站制作假证书?
答案1
问题:
如果CA的私钥泄露会发生什么?
見面答覆:
为任何其他网站制作虚假证书
答案2
是的。
Verisign 和其他受信任的根颁发机构对其密钥进行严密保护,因为他们的整个业务都依赖于可信证书。
如果发生泄漏,微软、Mozilla 和其他保存受信任 CA 列表的供应商很快就会将受损的证书从其受信任证书列表中删除,但风险仍然存在。
答案3
实际上,如果你有 CA 的私钥,你就可以制作真实但不合法的证书。这些证书没有任何虚假之处,只是它们不是由 CA 制作的。
假设那些维护受信任 CA 证书列表的人会删除被泄露的密钥,而 CA 必须创建一个新密钥(很简单),确保这个密钥更安全(绝对不简单),并分发新证书。与此同时,不是每个人都能在没有旧根证书的情况下获得新列表,而是在有新根证书的情况下获得新列表,证书基础设施会比现在更加不稳定。
答案4
如果 CA 的私钥被泄露,他们很可能会撤销该密钥。这是假设您谈论的是 CA 使用的密钥之一。通常,CA 有一个主密钥,该主密钥对其他几个密钥进行签名,这些密钥由受信任的机构使用,这些机构有权为客户签署 CSR。
如果 CA 丢失了用于签名的根级私钥,那么任何使用它的人都可以创建假证书,并且 SSL 几乎毫无用处,直到所有浏览器都发布包含新的受信任 CA 列表的更新。