Non sei sicuro della particolare implementazione in Active Directory, ma in generale la firma X.509 consente un recupero molto più facile da un compromesso.
Si presume che una CA on-line sia molto più vulnerabile di una offline. Supponiamo che la CA in linea sia compromessa e che la sua chiave privata sia potenzialmente copiata.
Si revoca il certificato CA. Vai avanti e genera una nuova coppia di chiavi, un certificato e così via: ora hai una nuova CA online.
Il tuo prossimo passo dipende se hai una CA offline o no:
-
Se si dispone di una CA offline, si utilizza la CA offline per firmare il nuovo certificato CA online. Abbastanza facile. Più sicuro, dato che è abbastanza facile probabilmente lo farai davvero.
-
Se non hai una CA offline, vai a installare il nuovo certificato CA radice su ogni computer, telefono, tablet, .... (In realtà, non lo fai: hai configurato una CA offline e l'hai invece installata. Perché hai imparato a non ripetere questo errore!) Meno sicuro, perché farai del tuo meglio per evitare questo lavoro. ("Siamo veramente sicuro che la chiave privata è stata rubata?")
Infine, firmi nuovi certificati per i server e li installa (includendo eventualmente la catena di CA).
Quindi, in sintesi, se disponi di una CA offline, devi solo emettere nuovamente i certificati per l'autenticazione lato (in genere, solo il server). Se non lo fai, non solo, puoi installare la tua nuova CA radice ovunque.