Sì, se qualcuno ruba la tua chiave privata, allora può creare un server falso con lo stesso nome e gli utenti non vedranno nulla di sbagliato (a patto che l'attaccante reindirizzi le connessioni al suo server, ad esempio alterando il DNS) .
No, gli utenti non saranno avvisati.
Dal punto di vista della CA e del browser dell'utente, un server falso con una chiave rubata non è diverso da un server Web che viene spostato in un altro indirizzo IP, ad es. come parte di un bilanciamento del carico basato su DNS . Quando si dispone di un server e un certificato, il certificato non è in alcun modo bloccato a qualsiasi indirizzo IP attualmente utilizzato; i browser controllano solo che il nome del server appaia nel certificato (vedi RFC 2818 , sezione 3.1) . Sei libero di copiare la tua chiave privata e i certificati su un altro server con un altro indirizzo IP e fare in modo che il DNS indichi quel nuovo indirizzo. L'unica differenza con lo scenario di attacco che descrivi (furto di chiavi) è che questa volta lo vuoi davvero. Che tu accetti o meno il trasferimento IP non può essere controllato dal cliente e, corrispondentemente, il client non lo controlla in alcun modo.
Quindi proteggi la tua chiave privata e, in caso di furto, segnala il furto alla tua CA che revocherà il certificato.