Вопросы Теги

Què passa quan algú coneix la clau secreta (del servidor web / una CA)?

bàsicament, tinc tres preguntes i agrairia una breu explicació de les diferències en les conseqüències d'aquests robatoris:

  1. Què ocorre quan algú coneix la clau secreta del servidor web?
  2. Què passa quan algú coneix la clau secreta de la CA que signa el certificat del servidor web?
  3. Què passa quan algú coneix la clau secreta del servidor web? d'una determinada CA?
3
задан 17 November 2018 в 20:59
1 ответ

Сертификаты используются для шифрования (так что трафик может быть прочитан только двумя вовлеченными узлами) и подписи (чтобы вы могли быть уверены, что это сервер, соответствующий вашему адресу присоединенный к). Имея в виду эти две функции, я попытаюсь кратко ответить на ваши различные сценарии:

  1. Что происходит, когда кто-то узнает секретный ключ веб-сервера?
  1. Трафик (прошлый, текущий и будущий) к Сервис HTTPS может быть расшифрован в случае захвата, раскрывая конфиденциальные данные, такие как учетные данные.
  1. Что происходит, когда кто-то узнает секретный ключ CA, который подписывает сертификат веб-сервера?
  1. Злоумышленник может подписать новый сертификат, и клиенты, которые рассматривают ЦС, подписавший ваш веб-сервер, будут доверять ему. Таким образом, клонированный портал может выдавать себя за вашу службу, будучи сертифицированным как принадлежащий вам, в то время как это не так.
  1. Что происходит, когда кто-то узнает секретный ключ определенного ЦС?
  1. Этот более сложный и добрый общего случая по п.2. дело в том, что с помощью закрытого ключа доверенного центра сертификации вы можете подписать сертификаты, и им будут доверять клиенты, которые уже доверяют этот CA. Здесь есть два разных уровня компромисса: произошла утечка промежуточного ключа CA, вы всегда можете отозвать его, используя корневой ключ. Однако, если корневой ключ скомпрометирован, этот CA будет выполнен, вам необходимо создать новый центр сертификации, если вы хотите надежного подписывающего лица, то есть почему корневой ключ ЦС обычно рекомендуется очень хорошо защищенный, вы можете сгенерировать промежуточное звено для подписи, а затем или отключите сервер с помощью корневого ключа.

Когда вы говорите о больших центрах сертификации (Comodo, VeriSign и т. д.), надежность жизненно важна для них, если системы им доверяют,перестаньте доверять им, потребуются обновления программного обеспечения. Многие из этих скандалов с CA привели к прекращению деятельности целых компаний, например StartSSL и DigiNotar.

Надеюсь, это поможет. С уважением

2
ответ дан 3 December 2019 в 06:54

Теги

Похожие вопросы