Non esiste una directory globale di tutti i certificati emessi (X.509 è stato progettato per supportare la Directory, ma non è mai esistito nella pratica). Dovrai contattare "tutti i CA" e chiedere loro gentilmente. Fondamentalmente, questo significherebbe andare al loro sito e usare la funzione "Ho perso la mia password" in modo da riprendere il controllo del tuo account, se esiste. I dettagli variano a seconda della CA.
In senso stretto, il numero di possibili CA non è limitato. È possibile iniziare con la CA radice utilizzata dal normale sistema operativo o browser, ma ciascuna di queste CA potrebbe aver rilasciato certificati per la CA secondaria che mantiene il proprio elenco di clienti. Ad esempio, il mio certificato di dominio è stato emesso dal mio registrar, che è un CA intermedio che ha ottenuto il certificato da un'altra CA radice. Pertanto, non puoi essere certo che hai rilevato e revocato tutti i certificati emessi nel tuo nome.
Ci sono alcune circostanze attenuanti, però:
-
Per ottenere i certificati falsi, l'autore dell'attacco deve avere pagato per loro. Questo potrebbe aver coinvolto numeri di carte di credito rubati, ma quando il pagamento rimbalza, la CA lo noterà ("dove sono i miei soldi?") E potrebbe revocare automaticamente i certificati incriminati. D'altra parte, se la carta di credito era autentica, allora potrebbe puntare sull'hacker.
-
Analogamente, poiché l'aggressore doveva pagare in qualche modo, probabilmente si concentrava su un paio di CA, non su un centinaio.
-
I certificati scadono dopo uno o due anni (perché CA vuole che i loro clienti siano clienti ricorrenti ). Quindi tutto tornerà a ordinare entro il 2016.
-
Molti sistemi operativi o browser non controllano comunque la revoca. Quindi, revocare i certificati è bello ma in realtà non risolve le cose.