攻击向量

如果攻击者发现了您的 SSL 私钥，那么您极易受到以下攻击：

1) 流量窃听

对于攻击者来说，通过 SSL 发送的所有内容都可以被解密，因此应该被视为明文。这意味着随着攻击的升级，密码、信用卡号和其他个人和私人信息很容易被收集或利用来对付您。

2) 中间人

使用 SSL 证书的部分原因是为了向连接到您的服务器的客户端唯一地验证您自己。如果私钥被盗，黑客可以创建中间人攻击，其中从服务器到客户端或客户端到服务器的数据流在传输过程中被修改。这可以要求用户重新进行身份验证（并因此交出他们的密码）、要求提供信用卡号或将恶意软件植入文件下载中。

如您所见，如果有人泄露了您的 SSL 证书，他们可以迅速升级攻击，以获取对您系统的未经授权的访问或攻击您或您的用户。

如何恢复

如果怀疑私钥泄露，应将 SSL 证书添加到证书撤销列表 (CRL)。这将提醒公钥基础设施 (PKI) 中的其他参与者，相关证书不再受信任。为此，您通常需要登录您在颁发 SSL 证书的证书颁发机构 (CA) 处创建的帐户，或以其他方式通知他们涉嫌违规。Godaddy和Network Solutions一样在线提供了相关说明。

吊销 SSL 证书后，您将需要再次完成生成新证书和私钥的过程，以便为您的网站或应用程序重新启用 SSL 服务。

如果您的网站遭到入侵，我建议您按照以下步骤进行恢复：

1. 关闭受损服务。在您修复问题时，让您自己或您的用户处于危险之中通常是不明智或不道德的。
2. 撤销 SSL 证书。通过将证书添加到 CRL，您将通知全世界它不再受信任。这应该尽快完成。
3. 确定违规的原因并修补问题。如果您一开始不知道自己是如何受到威胁的，那么撤销并重新颁发证书对您没有好处。尝试弄清楚这一点，以便在您将所有内容重新上线之前，您不会再次受到损害。修复问题。
4. 生成新的 SSL 证书。如上所述，您需要生成一个新证书才能安全地重新上线。
5. 恢复服务。在您解决了安全漏洞的根本原因、吊销证书并从头开始生成新证书之后，您应该可以将事情重新上线。
6. 通知用户/利益相关者。提供全面披露并通知可能因违反所发生的事情而受到损害的人被认为是最佳做法。在某些行业（例如医疗保健），这甚至可能是法律要求的。但是，此时您应该遵守公司/政府政策的具体细节。

攻击者可以用被盗的网站证书和密钥做什么？

拥有私钥的攻击者可以：

• 冒充网站，如果他们也能够执行主动 MITM 攻击（即更改来自客户端的流量，以便将请求重定向到他们的服务器）。

• 如果使用不提供完美前向保密（Ephemeral Diffie-Hellman 密码套件旨在提供 PFS）的密码套件，则查看他们可以窃听的内部流量（不必更改流量） 。

网站管理员在了解到这一点后应该怎么做？

他们应该联系他们的证书颁发机构以撤销 CA，并获得一个新的（带有新的密钥部分）。撤销后，检查撤销的客户端（通过 CRL 或 OCSP）不应接受旧证书。（在证书到期之前，不检查的客户端仍然容易受到攻击。）

告诉用户这件事发生了并不是一个坏主意，至少可以鼓励他们检查浏览器是否有撤销（如果他们怀疑他们的某些通信存在漏洞，可能会采取必要的措施）。

请注意，如果攻击者使用该证书记录了过去的通信并且当时使用了非 PFS 密码套件，则攻击者应该能够使用私钥解密这些过去的通信。