Avi*_*bil 7 encryption certificate cryptography
我只是想知道如果 CA 的私钥泄露会发生什么?那么就不能为任何其他网站制作假证书吗?
是的。
Verisign 和其他受信任的根授权机构严格保护他们的密钥,因为他们的整个业务都依赖于一个值得信赖的证书。
如果发生泄漏,用不了多久,Microsoft、Mozilla 和其他保留受信任 CA 列表的供应商就会从他们的受信任证书列表中删除受损证书,但风险仍然存在。
实际上,如果您拥有 CA 的私钥,您就可以制作真实但非法的证书。除了它们不是由 CA 制造之外,它们不会有任何虚假。
据推测,那些维护受信任 CA 证书列表的人会删除已泄露的密钥,CA 将不得不创建一个新密钥(微不足道),确保这个密钥更安全(绝对不是微不足道的),并分发新证书。与此同时,不是每个人都会在没有旧根证书的情况下获得新列表,而是使用新的根证书,并且证书基础设施会比现在更不稳定。