CA가 침입 당했을 때 공격자는 CA의 개인 키를 갖습니다. 그런 다음 공격자는 신뢰할 수있는 CA와 동일한 권한을 가지므로 모든 도메인에 대해 인증서를 발급 할 수 있습니다. 공개 키 피닝 (HPKP)없이 이러한 상황이 발생하면 클라이언트가 손상된 CA를 불신 할 때까지 모든 사이트가이 공격자에 의해 MITM 공격에 즉시 취약합니다.
HPKP는 사이트 운영에서 브라우저에 신뢰시킬 루트 CA 또는 공개 키의 공개 키를 지정하여이 문제를 완화하려고합니다. 예를 들어 Let 's Encrypt 및 GlobalSign의 루트 인증서를 고정하면 다른 CA의 손상이 전혀 영향을 미치지 않습니다.
1) 아니, 대칭되지 키 :
귀하의 질문에 대답합니다. 암호화되지 않은 서명에 사용되는 CA의 개인 키입니다.
2) 사이트가 해킹되지 않았으므로 중요하지 않습니다. CA 만 손상됩니다. 즉, 공격자는 사이트의 개인 키를 갖고 있지 않습니다. 그가 공격하기를 원한다면, 그는 자신이 생성하는 다른 공개 키를 제시해야합니다.
이 답변을 통해 도움이 되었기를 바랍니다.
감사합니다. @ X. 린, 내 의심을 해결했다. – mallaudin