是否有任何 CA 私钥(例如 godaddy 用于发布私钥/公钥对的私钥)因 heartbleed 而受到泄露?
答案1
这基本要求对于 CA 状态:
密钥泄露:如果……存在一种实用技术,未经授权的人可以通过该技术发现私钥的价值,则该私钥即被泄露……
第 3.1.5 节还指出:
如果发生以下一项或多项情况,CA 应在 24 小时内撤销证书:
...
13.CA 意识到用于颁发证书的下级 CA 的私钥可能受到损害;
任何存储用于在前端启用 TLS 的网络服务器(使用易受攻击的 OpenSSL 版本)需要撤销由该密钥签名的任何证书,否则可能会面临审核失败以及随后被排除在浏览器信任之外等。
然而,没有理由相信 CA 会将用于签署证书的密钥存储在面向公众的网络服务器上。事实上,根证书通常完全离线存储。
就前端 Web 服务器的私钥(用于向客户端进行身份验证的证书关联的密钥)而言,它们可能受到损害。
答案2
很难说清楚,但极其任何有信誉的 CA 都不太可能这样做。没有哪个称职的 CA 会将其 CA 证书放在任何靠近面向公众的 Web 服务器的地方。