Are there any known cases of HTTPS websites leaking the private key of their SSL certificate?
In senso stretto, una chiave privata dovrebbe disporre delle autorizzazioni dr--------
, con root:root
. Quindi, solo l'utente root può leggere il certificato. Se questo non è configurato correttamente e il server Web ha accesso alla chiave privata, in alcune circostanze, ad esempio il server Web, viene compromesso. Quindi qui potremmo vedere la chiave privata essere "trapelata", inconsapevolmente dal server web. Questo, ovviamente, si applica a qualsiasi programma che abbia accesso in lettura alla chiave privata.
Is it even technically possible for a bad website admin to misconfigure a site to send the private key as part of the certificate chain?
Secondo la configurazione, l'ho fatto con Apache 2, no! Quindi, una delle configurazioni del mio server web comprende:
SSLCertificateFile /etc/apache2/ssl/safesploit.com.cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/safesploit.com.key.pem
SSLCertificateChainFile /etc/apache2/ssl/fullchain.pem
Quindi, mentre comprendo la tua preoccupazione per un "cattivo amministratore" che colloca la chiave privata all'interno del fullchain, semplicemente non è possibile all'interno di vaniglia di Apache 2, a meno che Apache non sia stato modificato per accettare questo tipo di configurazione.
Per contesto:
- Chiavi pubbliche -r - r - r-- root root
- Chiavi private -r -------- root root