czy masz klucze prywatne CA, takie jak klucze używane przez Godaddy do wydawania par kluczy prywatnych / publicznych narażonych na szwank w wyniku zawodu?
czy masz klucze prywatne CA, takie jak klucze używane przez Godaddy do wydawania par kluczy prywatnych / publicznych narażonych na szwank w wyniku zawodu?
Odpowiedzi:
The podstawowe wymagania dla stanu CA:
Kluczowy kompromis: mówi się, że klucz prywatny jest zagrożony, jeśli ... istnieje praktyczna technika, dzięki której nieupoważniona osoba może odkryć swoją wartość. ...
W sekcji 3.1.5 stwierdza się również:
CA MUSI cofnąć certyfikat w ciągu 24 godzin, jeśli wystąpi co najmniej jedno z następujących zdarzeń:
...
13. CA jest informowany o możliwym naruszeniu klucza prywatnego podrzędnego urzędu certyfikacji używanego do wystawienia certyfikatu;
Każdy urząd certyfikacji, który przechowuje klucze prywatne, których używa do podpisywania się na front-end Serwer WWW z włączoną usługą TLS (korzystający z podatnej wersji OpenSSL) musiałby odwołać wszelkie certyfikaty podpisane przez ten klucz lub stawić czoła ewentualnemu nieudanemu audytowi, a następnie wykluczeniu z zaufania do przeglądarki itp.
Nie ma jednak powodu, by sądzić, że urzędy certyfikacji mają klucze, których używają do podpisywania certyfikatów, przechowywane na publicznych serwerach internetowych. W rzeczywistości klucze do certyfikaty root są często przechowywane całkowicie offline.
Jeśli chodzi o klucze prywatne serwerów WWW (klucze związane z certyfikatami używanymi do uwierzytelniania klientów), to może być zagrożonym.