V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sun1534
V2EX  ›  问与答

OPEN SSL 的 server.key 私钥文件 泄露了 有何后果?

  •  
  •   sun1534 · 2014-09-13 23:57:03 +08:00 · 5667 次点击
    这是一个创建于 3731 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如果 同事在服务器上面测试nginx SSL 搭建时,有可能导致了server.key私钥文件的泄露
    ,请问 server.key私钥文件泄露了 会造成哪些后果?
    9 条回复    2014-09-14 10:54:43 +08:00
    em70
        1
    em70  
       2014-09-14 00:01:24 +08:00   ❤️ 1
    换个登录密码就是了
    zhujinliang
        2
    zhujinliang  
       2014-09-14 00:01:46 +08:00 via Android
    会被伪造证书然后发起中间人攻击
    sun1534
        3
    sun1534  
    OP
       2014-09-14 00:02:34 +08:00
    @em70 我是好奇黑客利用我的私钥文件能玩出什么花样
    lfzyx
        4
    lfzyx  
       2014-09-14 00:25:05 +08:00
    @em70 求解释换什么登录密码?

    你的私钥如果是解密后的私钥,那么黑客可以在他的服务器上用你的私钥搭建相同的网站,然后只要劫持了受害人的dns,将域名解析到黑客的服务器上,浏览器访问时是不会警告的
    em70
        5
    em70  
       2014-09-14 00:41:41 +08:00
    @lfzyx 看错了,我以为是SSH远程登录服务器
    auser
        6
    auser  
       2014-09-14 08:14:37 +08:00 via Android
    私钥不加密直接裸奔么?

    既然是测试,证书的CA是谁?有效期又是多久?

    很多方式都可以避免泄露带来的风险的。
    wormcy
        7
    wormcy  
       2014-09-14 09:34:35 +08:00 via Android
    攻击需要利用网络中间节点?
    julyclyde
        8
    julyclyde  
       2014-09-14 10:54:09 +08:00
    @sun1534 加上DNS劫持或者TCP劫持,就可以作为你了
    julyclyde
        9
    julyclyde  
       2014-09-14 10:54:43 +08:00
    @auser 如果不裸奔,重启https服务器还得输入密码……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2375 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:01 · PVG 10:01 · LAX 18:01 · JFK 21:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.