OPEN SSL 的 server.key 私钥文件泄露了有何后果？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3517 天前的主题，其中的信息可能已经有所发展或是发生改变。

如果同事在服务器上面测试nginx SSL 搭建时,有可能导致了server.key私钥文件的泄露
，请问 server.key私钥文件泄露了会造成哪些后果？

9 条回复 • 2014-09-14 10:54:43 +08:00

em70

2014-09-14 00:01:24 +08:00

换个登录密码就是了

zhujinliang

2014-09-14 00:01:46 +08:00 via Android

会被伪造证书然后发起中间人攻击

sun1534

2014-09-14 00:02:34 +08:00

@em70 我是好奇黑客利用我的私钥文件能玩出什么花样

lfzyx

2014-09-14 00:25:05 +08:00

@em70 求解释换什么登录密码？

你的私钥如果是解密后的私钥，那么黑客可以在他的服务器上用你的私钥搭建相同的网站，然后只要劫持了受害人的dns，将域名解析到黑客的服务器上，浏览器访问时是不会警告的

em70

2014-09-14 00:41:41 +08:00

@lfzyx 看错了，我以为是SSH远程登录服务器

auser

2014-09-14 08:14:37 +08:00 via Android

私钥不加密直接裸奔么？

既然是测试，证书的CA是谁？有效期又是多久？

很多方式都可以避免泄露带来的风险的。

wormcy

2014-09-14 09:34:35 +08:00 via Android

攻击需要利用网络中间节点？

julyclyde

2014-09-14 10:54:09 +08:00

@sun1534 加上DNS劫持或者TCP劫持，就可以作为你了

julyclyde

2014-09-14 10:54:43 +08:00

@auser 如果不裸奔，重启https服务器还得输入密码……

OPEN SSL 的 server.key 私钥文件 泄露了 有何后果？