记一次HTTPS server.key私钥泄露事件

前言

在准备进行博客园美化的时候,发现自己的Alist Server.key泄露了。
虽然配套泄露的Server.crt已经过期了,但是我续期的那个Server.crt可以直接访问我的本机获取到
这对我的电脑(和其他信任了TD根证书的电脑与手机)造成了很严重的中间人攻击风险。
因此需要吊销证书

禁止进一步的泄露

image
将git仓库设置为私有
image

git filter-branch --force --index-filter \
  "git rm --cached --ignore-unmatch PATH-TO-YOUR-FILE-WITH-SENSITIVE-DATA" \
  --prune-empty --tag-name-filter cat -- --all

清除历史中数据
image
image
我注意到,仍然可以访问,只是哈希不同了而已。
这是新建了一个哈希分支。

所以这治标不治本,还是得生成新的server.key。
image

信任新证书

image

吊销原证书

服务器吊销证书

image
image
image

用户加入吊销列表

image
image
image
image
算了,放弃了。
吊销无用,不如放弃。

posted @ 2025-03-08 16:43  Timmoc  阅读(87)  评论(0)    收藏  举报