Задать вопрос
@SteepZero

Что может сделать злоумышленник, если ему в руки попал серверный SSL-сертификат?

Недавно тех-специалисты сервиса, с API которого мы интегрировались,
по ошибке скинули нам "сертификат сервера.cer"
(мы запрашивали сертификаты для подключения к ним по ГОСТ TLS)

В сертификате я вижу строки
X509v3 Key Usage:
    Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment


На сколько я понимаю, из этих строк следует, что сертификат серверный и для подключения он не годится

Следовательно, вопрос: допустим, я злоумышленник, тогда что, теоретически, я могу сделать, имея в руках этот сертификат?
  • Вопрос задан
  • 349 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
AlexanderYudakov
@AlexanderYudakov
C#, 1С, Android, TypeScript
"cer" - это сертификат. Его можно и нужно раздавать всем подряд. Ничего секретного там нет.
Нельзя отдавать посторонним "pvk" и/или "pfx" — там содержится закрытый ключ.
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
//COPY01 EXEC PGM=IEBGENER
Если в руки попал настоящий полноценный .p12 с известным паролем или даже незапароленные *.crt и *.key - можно выдавать себя за владельца сертификата и ни одна собака не докажет, что это не он.
Но Вам в руки попало то, что раздается всем подряд совершенно бесплатно типа рекламной листовки - общий ключ (публичный сертификат) в формате DER. Key Usage практически значения не имеет, интересен мог быть Extended Key Usage - вот там обычно перечисляется его настоящая применимость.

Так что Вы можете на него полюбоваться. И все :)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы