Me topé con la clave privada del certificado ssl comodín que protege los paneles de control de mi (bastante grande) servidor web: fue legible en todo el mundo dentro de un directorio común al que pueden acceder todos los inquilinos en el servidor.
El administrador web ignora mis solicitudes de revocar / reemplazar el certificado / hacer que este archivo no sea legible para todo el mundo.
El certificado fue emitido por AlphaSSL.
¿Qué debo hacer?
Envíe el mensaje firmado al emisor del certificado. Se verán obligados a revocarlo cuando demuestres que tienes la clave privada.
Esto se puede hacer con el siguiente comando:
openssl dgst -sha256 -sign keyfile -out signature text-file-to-sign.txt
Envíe el signature y text-file-to-sign.txt al emisor. Pídales que verifiquen con
openssl dgst -sha256 -verify public-keyfile -signature signature text-file-to-sign.txt
De esta manera, demuestras que tienes la clave privada, sin revelar el contenido de la clave privada. Cualquier emisor que se adhiera a las reglas debe revocar la clave cuando sepa que un tercero tiene acceso a ella.
Otra forma sería enviar la clave por correo electrónico al emisor. Esto solo debe hacerse si puede enviar un correo electrónico cifrado al emisor, para evitar un mayor riesgo de seguridad del necesario.
Lea otras preguntas en las etiquetas certificate-authority