nella hybris di leaked-ssl-private-key, tutti piangono per nuovi certificati e nuove chiavi.
la mia domanda: come si genererebbe un nuovo ssl-cert valido con la chiave privata dal mio sito web? i nostri certificati sono solitamente convalidati dal dominio, il che significa che [email protected] di solito ottiene una ntoficiation su richieste di certificati emessi
P.S. Non sto parlando di come le agenzie lo farebbero, ma di un hacker che probabilmente ha ottenuto la chiave privata
I siti Web distribuiscono il certificato pubblico, ovvero il modo in cui l'autenticazione TLS (identità) funziona (ad eccezione di un codice NULL). Se, ad esempio, sei stato in grado di utilizzare Heartbleed per rubare la chiave di un sito, il certificato richiesto sarebbe già stato distribuito dal server durante l'handshake (per ogni connessione TLS impostata correttamente).
Non è richiesta la creazione di un certificato. Se richiesto o desiderato, è possibile generare una CSR dal materiale della chiave. Quindi quel CSR potrebbe essere firmato da una CA commerciale, la tua ultima linea di difesa è la più debole politica di verifica della CA più indulgente. Non molto confortante ;-)
I clienti che implementano blocco dei certificati non dovrebbero, in teoria, cadere per tale certificato falso.
Potresti anche firmarlo con la tua CA privata, il certificato risultante sarebbe valido in senso tecnico, non accettato dai client (che verificano le catene CA e non riconoscono quello privato).
Hai ragione nel ritenere che sarebbe difficile ottenere un nuovo certificato. Ciò non impedisce tuttavia a un utente malintenzionato di decodificare il traffico con la chiave privata.
Puoi leggere ulteriori informazioni sulla decrittografia del traffico SSL con WireShark con solo la chiave privata qui .
la risposta è: non ne hai bisogno; puoi ottenere il certificato valido con il seguente modo:
openssl s_client -connect HOST:PORT -showcerts
e usali.
I kudos per questa risposta vanno a @CodesInChaos
Leggi altre domande sui tag openssl heartbleed