en el hybris de ssl-private-key filtrado todo el mundo clama por nuevos certificados y nuevas claves.
mi pregunta: ¿cómo se generaría un nuevo y válido certificado ssl-cert con la clave privada de mi sitio web? nuestros certificados suelen ser validados por el dominio, lo que significa que [email protected] generalmente obtiene una nofunción en solicitudes de certificados emitidas
p.s. No estoy hablando de cómo las agencias harían esto, sino un hacker que posiblemente obtuvo la clave privada
Los sitios web entregan el certificado público, así es como funciona la autenticación (identidad) TLS (excepto los cifrados NULL). Si, por ejemplo, pudiera usar Heartbleed para robar la clave de un sitio, el servidor ya habría entregado el certificado requerido durante el protocolo de enlace (para cada conexión TLS configurada correctamente).
No se requiere la creación de un certificado. Si fuera necesario o deseable, se podría generar un CSR a partir del material clave. Luego, esa CSR podría estar firmada por una CA comercial, su última línea de defensa es la política de verificación más débil de la CA más indulgente. No muy reconfortante ;-)
Los clientes que implementan fijación de certificados no deberían, en teoría, caer en tal certificado falso.
También puede firmarlo con su propia CA privada, el certificado resultante sería válido en un sentido técnico, simplemente no aceptado por los clientes (que verifican las cadenas de CA, y no reconocerá su privado).
Usted tiene razón al suponer que sería difícil obtener un nuevo certificado. Sin embargo, esto no impide que un atacante descifre el tráfico con la clave privada.
Puede leer más sobre descifrar el tráfico SSL con WireShark solo con la clave privada aquí .
la respuesta es: no es necesario; Puede obtener el certificado válido de la siguiente manera:
openssl s_client -connect HOST:PORT -showcerts
y úsalos.
felicitaciones por esta respuesta van a @CodesInChaos
Lea otras preguntas en las etiquetas openssl heartbleed