Что можно сделать с украденным закрытым ключом к сертификату

мы говорим, что site.com это алиас hackedsite.com

Браузер пользователя ругнётся на MITM, сказав "сертификат выдан для другого домена". Даже здесь такая проблема была: сертификат был на www.pgpru.com, и если заходишь на pgpru.com уже шла ругань, а вы вообще про другой домен. С другой стороны, раз атакующий полностью контролирует ответы DNS, он может в качестве IP для site.com возвратить оный для hackedsite.com. Соответственно, чтобы у пользовательского браузера не было подозрений, hackedsite.com должен уметь полностью работать как site.com. Это называется фишинг.

Чем вообще грозит утеря закрытого ключа сертификата?

В смысле, компрометация? Очевидно, возможным MITM.

Или, в смысле, удаление/повреждение? Тогда сервер не сможет аутентифицироваться в SSL-сеансе.

Да, но изначально запрошен он будет как site.com, а валидный сертификат у атакующего есть на hackedsite.com. Сертификаты привязаны к dns, а не ip.

SATtva, имелось в виду вне сайта, которому принадлежит сертификат, можно что-то сделать?

мы говорим, что site.com это алиас hackedsite.com, а при попытке коннекта к hackedsite.com предъявляем валидный сертификат на него

валидный сертификат у атакующего есть на hackedsite.com

Ну тогда я вас не правильно понял. В таком случае я не вижу пространства для атаки, кроме как на человеческий фактор (пользователь не обратит внимание на предупреждения браузера, не заметить что http используется вместо https, не увидит отличий в написании дменных site.com и hackedsite.com и т.п.).