Что может сделать злоумышленник, если ему в руки попал серверный SSL-сертификат?

Question

[SteepZero]

Недавно тех-специалисты сервиса, с API которого мы интегрировались,
по ошибке скинули нам "сертификат сервера.cer"
(мы запрашивали сертификаты для подключения к ним по ГОСТ TLS)

В сертификате я вижу строки

X509v3 Key Usage:
    Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

На сколько я понимаю, из этих строк следует, что сертификат серверный и для подключения он не годится

Следовательно, вопрос: допустим, я злоумышленник, тогда что, теоретически, я могу сделать, имея в руках этот сертификат?

Answer 1

[Александр Юдаков]

"cer" - это сертификат. Его можно и нужно раздавать всем подряд. Ничего секретного там нет.
Нельзя отдавать посторонним "pvk" и/или "pfx" — там содержится закрытый ключ.

Answer 2

[CityCat4]

Если в руки попал настоящий полноценный .p12 с известным паролем или даже незапароленные *.crt и *.key - можно выдавать себя за владельца сертификата и ни одна собака не докажет, что это не он.
Но Вам в руки попало то, что раздается всем подряд совершенно бесплатно типа рекламной листовки - общий ключ (публичный сертификат) в формате DER. Key Usage практически значения не имеет, интересен мог быть Extended Key Usage - вот там обычно перечисляется его настоящая применимость.

Так что Вы можете на него полюбоваться. И все :)