Что может сделать злоумышленник, если ему в руки попал серверный SSL-сертификат?

Question

SteepZero @SteepZero

Что может сделать злоумышленник, если ему в руки попал серверный SSL-сертификат?

Недавно тех-специалисты сервиса, с API которого мы интегрировались,
по ошибке скинули нам "сертификат сервера.cer"
(мы запрашивали сертификаты для подключения к ним по ГОСТ TLS)

В сертификате я вижу строки

X509v3 Key Usage:
    Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

На сколько я понимаю, из этих строк следует, что сертификат серверный и для подключения он не годится

Следовательно, вопрос: допустим, я злоумышленник, тогда что, теоретически, я могу сделать, имея в руках этот сертификат?

Вопрос задан более трёх лет назад
295 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Цифровые сертификаты

Простой
Как обновить сертификат через certbot (--manual)?
- 1 подписчик
- 18 апр.
- 46 просмотров
2

ответа
PostgreSQL

+2 ещё

Простой
Где искать рекомендуемые настройки SSL-аутентификации для Docker-образа Posgres?
- 1 подписчик
- 17 апр.
- 64 просмотра
3

ответа
Цифровые сертификаты

+1 ещё

Средний
Какой SSL-сертификат лучше использовать для стэйджинга?
- 2 подписчика
- 17 апр.
- 118 просмотров
2

ответа
Debian

+1 ещё

Простой
Где найти центр корневых сертификатов в Debian?
- 1 подписчик
- 10 апр.
- 56 просмотров
1

ответ
Поисковая оптимизация

+1 ещё

Простой
Насколько важно с точки зрения SEO иметь платный сертификат OV на сайте?
- 1 подписчик
- 09 апр.
- 105 просмотров
5

ответов
Nginx

+2 ещё

Простой
Как правильно настроить nginx + ssl в докер?
- 1 подписчик
- 04 апр.
- 106 просмотров
0

ответов
Цифровые сертификаты

+1 ещё

Простой
Как установить SSL сертификат на MS Exchange 2013?
- 1 подписчик
- 03 апр.
- 138 просмотров
2

ответа
Java

+2 ещё

Простой
Как исправить ошибку SSL?
- 1 подписчик
- 31 мар.
- 159 просмотров
1

ответ
Linux

+2 ещё

Простой
Чем конвертировать TLS в JWT токен (tls2jwt)?
- 1 подписчик
- 28 мар.
- 93 просмотра
2

ответа
PHP

+1 ещё

Средний
Почему возникает ошибка SSl?
- 1 подписчик
- 27 мар.
- 147 просмотров
0

ответов
Показать ещё Загружается…

Администратор PostgreSQL

Гринатом

До 200 000 ₽

PHP Backend Developer

Bcash Greece Inc • Афины

от 140 000 до 190 000 ₽

Swift developer Middle/Middle+ удаленно

presto.heads

До 150 000 ₽

Доработка Django приложения и исправление ошибок конфигурации

25 апр. 2024, в 20:14

1000 руб./за проект

Завершение разработки проекта на CS2

25 апр. 2024, в 20:02

100000 руб./за проект

Требуется завершить backend (проектная работа)

25 апр. 2024, в 19:42

49000 руб./за проект

Answer 1 · 2018-01-22 15:14:53

"cer" - это сертификат. Его можно и нужно раздавать всем подряд. Ничего секретного там нет.
Нельзя отдавать посторонним "pvk" и/или "pfx" — там содержится закрытый ключ.

Answer 2 · 2018-01-22 21:26:51

Если в руки попал настоящий полноценный .p12 с известным паролем или даже незапароленные *.crt и *.key - можно выдавать себя за владельца сертификата и ни одна собака не докажет, что это не он.
Но Вам в руки попало то, что раздается всем подряд совершенно бесплатно типа рекламной листовки - общий ключ (публичный сертификат) в формате DER. Key Usage практически значения не имеет, интересен мог быть Extended Key Usage - вот там обычно перечисляется его настоящая применимость.

Так что Вы можете на него полюбоваться. И все :)

Что может сделать злоумышленник, если ему в руки попал серверный SSL-сертификат?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт