Se un certificato viene revocato, può essere ripristinato, oppure è l'unica opzione per generarne uno nuovo?
L'unica opzione per annullare la chiamata è quando il certificato viene revocato con il motivo certificateHold
( §5.3.1 in RFC5280 ). In tutti gli altri casi, il certificato (e la chiave) devono essere ricreati.
Ne crei uno nuovo. Solitamente è più semplice rilasciare un nuovo certificato piuttosto che annullare la revoca di uno revocato.
La revoca di un certificato influisce solo sui metadati relativi a quel certificato, ma non modifica affatto il certificato. Se un client non esegue controlli di revoca (come l'utilizzo di un CRL o OCSP), un certificato revocato può ancora essere visualizzato come attendibile.
La revoca funziona, nel caso della maggior parte delle CA pubbliche, poiché la CA fornisce anche le informazioni sullo stato del certificato ed è anche da dove verrà revocato, quindi, anche se quel certificato non è stato modificato, qualsiasi client X.509 Vale la pena di qualsiasi merito controllerà anche lo stato di quel certificato e vedrà che è stato revocato e rifiuta di fidarsi di esso.
Leggi altre domande sui tag certificates certificate-revocation x.509