Wie ist die Sperrung eines root-Zertifikat behandelt?
Es gibt mehrere Gründe, um ein Zertifikat widerrufen, wird die beliebteste sein Kompromittierung des privaten Schlüssels.
Meine Frage ist:
Was passiert, wenn es notwendig ist, zu widerrufen, das Zertifikat von einer Zertifizierungsstelle?
Bedeutet dies, dass alle die Zertifikate, die es unterzeichnet hat, berücksichtigt werden sollten widerrufen?
Dies scheint sinnvoll, da die ZERTIFIZIERUNGSSTELLE ein neues Zertifikat ausgestellt, daher ein neues Schlüsselpaar.
Auf der anderen Seite, was würde sein, den Prozess zu annullieren und wiederholen Sie möglicherweise Hunderten von Zertifikaten, die bestimmte ZERTIFIZIERUNGSSTELLE hat bereits ausgestellt, so weit?
Ich bin verwirrt über die Folgen des Widerruf eines CA-Zertifikats.
Könnte bitte jemand etwas näher erläutern?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Können Sie nicht widerrufen, eine Vertrauenswürdige (z.B. Root-CA) - Zertifikat, weil es selbst von der ZERTIFIZIERUNGSSTELLE signiert wurde und daher gibt es keine vertrauenswürdigen Mechanismus zur überprüfung einer CRL. Wenn ein root-CA ist kompromittiert, ist es sehr schlecht :-). Sie müssen manuell entfernen Sie die CA von Ihrem store (oder dies kann geschehen durch die browser-oder Betriebssystem-updates, wenn diejenigen, die root-certs waren Teil dieser Distributionen).
Widerruf einer CA, deren Zertifikat wurde von einer der root-CAs bedeutet, dass alle Zertifikate dieser ZERTIFIZIERUNGSSTELLE ausgestellt hat, sind nicht mehr gültig. Dies geschieht während der Pfad-Verarbeitung, beginnen wir das Zertifikat, das wir versuchen zu überprüfen, und dann bauen ein Weg zu einem vertrauenswürdigen Stammzertifikat. Jedes Zertifikat im Pfad haben sollten, Ihre verschiedenen Pfad-Einschränkungen aktiviert, und eine CRL (oder einen anderen Mechanismus) sollte verwendet werden, um zu bestimmen, ob Sie gesperrt wurden. Wenn ein Zertifikat fehlschlägt, dann wird der ganze Pfad ist ungültig.
Also die kurze Antwort ist, ja. Wenn Sie das CA-Zertifikat widerrufen wird, werden alle Zertifikate, die Sie ausgestellt haben (und so auf den Pfad hinunter) als ungültig betrachtet werden sollen.
Sperren eines Zertifikats bedeutet das Folgendes: "obwohl die Inhalte des Zertifikats gut Aussehen, sollte das Zertifikat nicht mehr verwendet werden". Es ist ein Weg, um "Abbrechen" die kryptographische Signatur auf dem Zertifikat.
Bevor Sie mit einem Zertifikat (also den public key im Zertifikat enthalten, zum Beispiel als Teil einer SSL-Verbindung), wird das Zertifikat validiert werden müssen, was bedeutet, dass die Signatur auf dem Zertifikat überprüft werden muss, relativ zu dem öffentlichen Schlüssel in ein CA-Zertifikat. Dies impliziert mit das CA-Zertifikat, so dass die Unterschrift auf , dass Zertifikat muss außerdem geprüft werden, und so weiter, bis hin zu einem "root-CA", auch bekannt als "Vertrauensanker", wird davon ausgegangen, dass immer überprüft (es ist fest in welcher software macht die Prüfung).
Wenn ein CA-Zertifikat gesperrt ist, dann kann es nicht verwendet werden (das ist der Punkt, der das sperren eines Zertifikats: so, dass es nicht mehr). Insbesondere Zertifikat-Validierung sollte nicht möglich sein, verwenden Sie das CA-Zertifikat nicht mehr. Die Zertifikate dieser ZERTIFIZIERUNGSSTELLE ausgestellt werden nicht widerrufen werden: möglicherweise können Sie sein nachprüfbar mit anderen CA-Zertifikat enthält den gleichen Schlüssel: ein CA-Zertifikat wie jede andere Zertifikat bindet einen Namen mit einem öffentlichen Schlüssel; nichts verhindert, dass die Existenz von mehreren verschiedenen Zertifikate, die behaupten, dass die Bindung, und das ist eine normale situation im Fall von "bridge CA" (meist so verwendet, dass einige Zertifikate können verifiziert werden, relativ zu mehreren vertrauensankern). Natürlich wenn das CA-Zertifikat widerrufen wird, weil der CA private key gestohlen wurde, dann die sinnvolle Vorgehensweise ist zu widerrufen alle Zertifikate ausgestellt zu, die ZERTIFIZIERUNGSSTELLE und die Zertifikate ausgestellt von, dass CA wird nicht mehr nachweisbar von jedermann.
So, in der Summe aufheben ein CA-Zertifikat nicht widerrufen, werden alle ausgestellten Zertifikate durch die CA, aber es verhindert, dass die Prüfung dieser Bescheinigungen durch die CA.
Nicht. Wenn Sie das CA-Zertifikat widerrufen ist, es ' s ausgestellte Zertifikate sollten nicht mehr als 'signed'.