Mi sono imbattuto nella chiave privata del certificato jolly ssl che protegge i pannelli di controllo del mio (piuttosto grande) webhoster - era leggibile in tutto il mondo all'interno di una directory comune accessibile da tutti i tenant sul server.
Il webhoster ignora le mie richieste di revoca / sostituzione del certificato / rendendo questo file non leggibile da tutto il mondo.
Il certificato è stato emesso da AlphaSSL.
Che cosa dovrei fare?
Invia un messaggio firmato all'emittente del certificato. Saranno costretti a revocarlo quando dimostrerai di avere la chiave privata.
Questo può essere fatto con il seguente comando:
openssl dgst -sha256 -sign keyfile -out signature text-file-to-sign.txt
Invia signature e text-file-to-sign.txt all'emittente. Chiedi loro di verificare con
openssl dgst -sha256 -verify public-keyfile -signature signature text-file-to-sign.txt
In questo modo si dimostra di avere la chiave privata, senza rivelare il contenuto della chiave privata. Qualsiasi emittente che rispetti le regole dovrebbe revocare la chiave quando viene a sapere che una terza parte ha accesso ad essa.
Un altro modo sarebbe quello di inviare la chiave stessa nell'e-mail all'emittente. Questo dovrebbe essere fatto solo se puoi inviare e-mail crittografate all'emittente, per evitare ulteriori compromessi di sicurezza del necessario.
Leggi altre domande sui tag certificate-authority