Come viene revocato un certificato di origine?

2

So che le CA utilizzano i certificati intermedi per mitigare l'impatto della possibilità di revocare un'autorità di certificazione principale (ad esempio, la necessità di aggiornare tutti i client browser sui computer delle persone in tutto il mondo).

Tuttavia, prima o poi il certificato di base dovrà essere revocato, dopo circa 15 anni. Come viene fatto per minimizzare l'interruzione delle comunicazioni?

    
posta Minaj 25.07.2016 - 01:25
fonte

1 risposta

2

I certificati root non devono essere revocati a meno che non vengano compromessi. Nel caso in cui vengano compromessi, possono essere revocati inserendoli su una lista nera all'interno, ad es. un browser o rimuovendoli del tutto. Ovviamente non è possibile creare semplicemente un CRL in quanto non ci sarebbe una chiave privata attendibile; invece questa è un'operazione fuori ordine .

In generale è meglio creare un nuovo certificato di root e lasciare scadere quello vecchio. Si noti che i certificati sottostanti dovrebbero avere una data di scadenza inferiore o uguale alla data di scadenza del loro genitore. Naturalmente i nuovi certificati radice devono essere comunicati in modo sicuro ad es. i produttori di browser. Come ciò possa essere fatto è generalmente comunicato dai produttori del browser, ad es. consulta la politica di Mozilla qui .

    
risposta data 25.07.2016 - 02:28
fonte

Leggi altre domande sui tag