heartbleed 是否导致 CA 私钥被泄露?

heartbleed 是否导致 CA 私钥被泄露?

是否有任何 CA 私钥(例如 godaddy 用于发布私钥/公钥对的私钥)因 heartbleed 而受到泄露?

答案1

基本要求对于 CA 状态:

密钥泄露:如果……存在一种实用技术,未经授权的人可以通过该技术发现私钥的价值,则该私钥即被泄露……

第 3.1.5 节还指出:

如果发生以下一项或多项情况,CA 应在 24 小时内撤销证书:

...

13.CA 意识到用于颁发证书的下级 CA 的私钥可能受到损害;

任何存储用于在前端启用 TLS 的网络服务器(使用易受攻击的 OpenSSL 版本)需要撤销由该密钥签名的任何证书,否则可能会面临审核失败以及随后被排除在浏览器信任之外等。

然而,没有理由相信 CA 会将用于签署证书的密钥存储在面向公众的网络服务器上。事实上,根证书通常完全离线存储。

就前端 Web 服务器的私钥(用于向客户端进行身份验证的证书关联的密钥)而言,它们可能受到损害。

答案2

很难说清楚,但极其任何有信誉的 CA 都不太可能这样做。没有哪个称职的 CA 会将其 CA 证书放在任何靠近面向公众的 Web 服务器的地方。

相关内容