當根 CA 的私鑰洩露時會發生什麼?
當根 CA 的私鑰洩露時會發生什麼?那麼樹上的所有孩子也都被感染了?然後所有的證書都被洩露了?那需要發生什麼?
相關:
對於 CA、他們的客戶、Web 瀏覽器和作業系統開發人員以及 Slashdot 使用者來說,很多不眠之夜就是這樣。
我不知道 CA 是否曾經洩露過他們的私鑰,但已經發生過他們的系統被入侵並頒發了欺詐性證書的事件。(實際獲取的私鑰與攻擊者只能將偽造的證書輸入系統並對其進行錯誤簽名之間存在差異——儘管兩者都已經夠糟糕了。)
2011 年,Comodo(後來更名為 Sectigo,仍然是現存最大的 CA 之一)的經銷商遭到入侵,並被用來為 google.com 和其他主要域頒發多個欺詐性證書。Comodo 迅速撤銷了證書並禁用了經銷商的帳戶,並且作為獎勵(因為可以阻止線上 OCSP 和 CRL 檢查)Web 瀏覽器和作業系統發布了專門禁止這些證書的更新。
Comodo 被“鼓勵”要更加小心——事實上,不到兩週後,另一個經銷商賬戶遭到入侵,但攻擊者無法用它完成任何事情——但他們的根並沒有被撤銷,他們也沒有遭受重大後果。(經銷商也還在。)網際網路上有很多關於這是否是對有限違規行為的適當回應,或者 Comodo 是否犯了不可原諒的錯誤但接受了“太大而不能倒”的特殊待遇。
2011 年晚些時候(糟糕的一年),一個名為 DigiNotar 的 CA 遭到入侵,並為 Google 和各種其他域(再次)頒發了數百個假證書。當網路瀏覽器和作業系統公司最終被告知時,他們從證書儲存中撤銷了 DigiNotar 的根——清除了欺詐性證書,但在此過程中破壞了許多(主要是荷蘭)網站。
DigiNotar 一個多月沒有將此事告知任何人,也無法提供一份完整的欺詐證書清單。例如,Mozilla 對它們失去了信心,而 DigiNotar 在幾週內就破產了。