CAの秘密鍵が漏洩した場合、どうなるのだろうかと思っていました。そうすれば、他のWebサイトの偽の証明書を作成することはできませんか?
質問:
CAの秘密鍵が漏洩した場合はどうなりますか?
答えを満たします:
他のウェブサイトの偽の証明書を作成する
はい。
Verisignおよびその他の信頼できるルート機関は、ビジネス全体が信頼できる証明書を持つことに依存しているため、キーを厳重に保護しています。
リークが発生した場合、Microsoft、Mozilla、および信頼できるCAのリストを保持している他のベンダーが、信頼できる証明書のリストから侵害された証明書を削除するのはそう長くはかからないでしょうが、リスクは依然として存在します。
実際、CAの秘密鍵があれば、本物の、しかし非合法な証明書を作成することができます。それらがCAによって作成されないことを除いて、それらについて偽物は何もありません。
おそらく、信頼できるCA証明書のリストを管理している人は、侵害されたキーを削除し、CAは新しいキーを作成し(簡単)、これがより安全であることを確認し(間違いなく簡単ではない)、新しい証明書を配布する必要があります。その間、すべての人が古いルート証明書なしで新しいルート証明書を使用して新しいリストを取得するわけではなく、証明書インフラストラクチャは現在よりもさらに不安定になります。
CAの秘密鍵が漏洩した場合、CAはその鍵を取り消す可能性があります。これは、CAが使用するキーの1つについて話していることを前提としています。通常、CAには、顧客のCSRへの署名を許可されている信頼できる機関によって使用される他のいくつかのキーに署名するマスターキーがあります。
CAが署名に使用したルートレベルの秘密鍵を失った場合、それを使用する人はだれでも偽の証明書を作成でき、すべてのブラウザが信頼できるCAの新しいリストを含む更新をリリースするまで、SSLはほとんど役に立ちません。