Freitag, Februar 21, 2020

Wie ist die Sperrung eines root-Zertifikat behandelt?

Es gibt mehrere Gründe, um ein Zertifikat widerrufen, wird die beliebteste sein Kompromittierung des privaten Schlüssels.

Meine Frage ist:

Was passiert, wenn es notwendig ist, zu widerrufen, das Zertifikat von einer Zertifizierungsstelle?

Bedeutet dies, dass alle die Zertifikate, die es unterzeichnet hat, berücksichtigt werden sollten widerrufen?

Dies scheint sinnvoll, da die ZERTIFIZIERUNGSSTELLE ein neues Zertifikat ausgestellt, daher ein neues Schlüsselpaar.

Auf der anderen Seite, was würde sein, den Prozess zu annullieren und wiederholen Sie möglicherweise Hunderten von Zertifikaten, die bestimmte ZERTIFIZIERUNGSSTELLE hat bereits ausgestellt, so weit?

Ich bin verwirrt über die Folgen des Widerruf eines CA-Zertifikats.

Könnte bitte jemand etwas näher erläutern?

InformationsquelleAutor Cratylus | 2011-05-08

3 Kommentare

  1. 10

    Können Sie nicht widerrufen, eine Vertrauenswürdige (z.B. Root-CA) – Zertifikat, weil es selbst von der ZERTIFIZIERUNGSSTELLE signiert wurde und daher gibt es keine vertrauenswürdigen Mechanismus zur überprüfung einer CRL. Wenn ein root-CA ist kompromittiert, ist es sehr schlecht :-). Sie müssen manuell entfernen Sie die CA von Ihrem store (oder dies kann geschehen durch die browser-oder Betriebssystem-updates, wenn diejenigen, die root-certs waren Teil dieser Distributionen).

    Widerruf einer CA, deren Zertifikat wurde von einer der root-CAs bedeutet, dass alle Zertifikate dieser ZERTIFIZIERUNGSSTELLE ausgestellt hat, sind nicht mehr gültig. Dies geschieht während der Pfad-Verarbeitung, beginnen wir das Zertifikat, das wir versuchen zu überprüfen, und dann bauen ein Weg zu einem vertrauenswürdigen Stammzertifikat. Jedes Zertifikat im Pfad haben sollten, Ihre verschiedenen Pfad-Einschränkungen aktiviert, und eine CRL (oder einen anderen Mechanismus) sollte verwendet werden, um zu bestimmen, ob Sie gesperrt wurden. Wenn ein Zertifikat fehlschlägt, dann wird der ganze Pfad ist ungültig.

    Also die kurze Antwort ist, ja. Wenn Sie das CA-Zertifikat widerrufen wird, werden alle Zertifikate, die Sie ausgestellt haben (und so auf den Pfad hinunter) als ungültig betrachtet werden sollen.

    • Also in den Pfad, den Weg zu bauen-von der target-Zertifikat bis zum Vertrauensanker.Die Sperrungsüberprüfung dann ist der andere Weg dann? Von oben (ohne trust-anchor) an die Ziel-Zertifikat?
    • Auch, was wäre der Prozess (praktisch), um re-issue alle Zertifikate dieser ZERTIFIZIERUNGSSTELLE ausgestellt hat?
    • Keine CRL-Verarbeitung erfolgt aus dem Ziel – /end-entity-Zertifikat zu der root, wie Sie tun, Weg der Verarbeitung. Der einzige praktische Weg zu einer Neuauflage alle Zertifikate zu widerrufen, CA, erstellen Sie ein neues CA-Zertifikat und dann neue Zertifikate für jede Entität. Es ist ein schwerwiegender Fehler, und aus diesem Grund sind die CA ‚ s sollten versuchen, nicht zu bekommen Ihre Zertifikate widerrufen :-).
    • Die CRL zu widerrufen, das root-Zertifikat unterschrieben werden könnte, indem das root-Zertifikat selbst. Es ist die gleiche Weise, wie PGP-public-keys sind entzogen.
  2. 6

    Sperren eines Zertifikats bedeutet das Folgendes: „obwohl die Inhalte des Zertifikats gut Aussehen, sollte das Zertifikat nicht mehr verwendet werden“. Es ist ein Weg, um „Abbrechen“ die kryptographische Signatur auf dem Zertifikat.

    Bevor Sie mit einem Zertifikat (also den public key im Zertifikat enthalten, zum Beispiel als Teil einer SSL-Verbindung), wird das Zertifikat validiert werden müssen, was bedeutet, dass die Signatur auf dem Zertifikat überprüft werden muss, relativ zu dem öffentlichen Schlüssel in ein CA-Zertifikat. Dies impliziert mit das CA-Zertifikat, so dass die Unterschrift auf , dass Zertifikat muss außerdem geprüft werden, und so weiter, bis hin zu einem „root-CA“, auch bekannt als „Vertrauensanker“, wird davon ausgegangen, dass immer überprüft (es ist fest in welcher software macht die Prüfung).

    Wenn ein CA-Zertifikat gesperrt ist, dann kann es nicht verwendet werden (das ist der Punkt, der das sperren eines Zertifikats: so, dass es nicht mehr). Insbesondere Zertifikat-Validierung sollte nicht möglich sein, verwenden Sie das CA-Zertifikat nicht mehr. Die Zertifikate dieser ZERTIFIZIERUNGSSTELLE ausgestellt werden nicht widerrufen werden: möglicherweise können Sie sein nachprüfbar mit anderen CA-Zertifikat enthält den gleichen Schlüssel: ein CA-Zertifikat wie jede andere Zertifikat bindet einen Namen mit einem öffentlichen Schlüssel; nichts verhindert, dass die Existenz von mehreren verschiedenen Zertifikate, die behaupten, dass die Bindung, und das ist eine normale situation im Fall von „bridge CA“ (meist so verwendet, dass einige Zertifikate können verifiziert werden, relativ zu mehreren vertrauensankern). Natürlich wenn das CA-Zertifikat widerrufen wird, weil der CA private key gestohlen wurde, dann die sinnvolle Vorgehensweise ist zu widerrufen alle Zertifikate ausgestellt zu, die ZERTIFIZIERUNGSSTELLE und die Zertifikate ausgestellt von, dass CA wird nicht mehr nachweisbar von jedermann.

    So, in der Summe aufheben ein CA-Zertifikat nicht widerrufen, werden alle ausgestellten Zertifikate durch die CA, aber es verhindert, dass die Prüfung dieser Bescheinigungen durch die CA.

    • 1), So dass die consequense ist, dass die Validierung Pfad bricht, und so ist das ausgestellte Zertifikat „nutzlos“? 2)ich wusste nicht, es war ein Fall, wo wir konnten, haben die gleichen öffentlichen Schlüssel mit mehreren Zertifikaten.In diesem Fall wird der öffentliche Schlüssel ist der gleiche, aber ich nehme an, das Thema dn ist anders?
    • 1) ja. 2) Hoffentlich nicht ! Das Zertifikat bindet den Schlüssel zu einem Namen, der sollte das – Taste Eigentümer. Was könnten Sie haben ist den gleichen Schlüssel und den gleichen Betreff-DN, aber deutliche Aussteller-DN (das heißt, dass zwei CA versichern „das ist Bob ‚ s public key“ für die gleiche Bob und den gleichen Schlüssel).
    • In diesem Fall gibt es mehrere Validierung Wege, Recht?.Also in einer vereinfachten Frage, wenn zum Beispiel es wird überprüft, ob ein Zertifikat X wurde aufgehoben, mit Zertifikat “ X “ und der Signaturzertifikat Y nur in der Validierung Pfad, gibt es einen Fall, dass ein Zertifikat höher in der Kette, könnte widerrufen werden, aber wir bekommen z.B. aus der OCSP-responder des Zertifikats X ist noch ok?
    • eine OCSP-Antwort bedeutet nur, dass ein bestimmtes Zertifikat „nicht gesperrt“, ersetzt aber nicht die Validierung. Zu erwägen, ein Zertifikat als gültig, muss es signiert werden, indem ein gültige CA-Zertifikat, und – Widerruf-status überprüfen müssen reagieren „nicht widerrufen“. Wenn ein Zertifikat „höher in der Kette“ entzogen wird, dann kann es nicht verwendet werden, insbesondere nicht zur Validierung der rest der Kette. Der Sperrstatus von ‚X‘ ist dabei irrelevant: „X“, sollte zuerst überprüft werden, unterzeichnet von einer gültigen CA-public-key, und kann dies nicht passieren, mit einem gesperrten Zertifikat höher in der Kette.
    • Ich schlage vor, eine Verbesserung für diese Antwort, klicken Sie bitte hier für details.
  3. 0

    Nicht. Wenn Sie das CA-Zertifikat widerrufen ist, es ‚ s ausgestellte Zertifikate sollten nicht mehr als ’signed‘.

    • Also in einer Umgebung, wo die compromized CA ausgestellt hat, hundrends von Zertifikaten, was wäre der Prozess zu erneuern, diese?Gibt es eine standard-Vorgehensweise?

Kostenlose Online-Tests