Relazione tra il database cert SSL e quello nel sito CA.

Question

Relazione tra il database cert SSL e quello nel sito CA.

#1 da (3 voti)

1

Supponiamo che io stia utilizzando un sito di terze parti affidabile per gestire il mio certificato. Ho creato un nuovo certificato chiamato CertA sull'interfaccia Web di CA, scaricato il certificato firmato e lo uso sul mio server web. Qualche tempo dopo ho trovato alcuni errori con la mia applicazione web dopo l'implementazione di CertA. Così ho salvato cert.db e key.db e procedo alla riemissione di un nuovo certificato chiamato CertB e installarlo sul mio server web.

La domanda ora è questa: se voglio usare di nuovo CertA, posso farlo copiando i miei key.db e cert.db salvati e lasciare il record alla CA come CertB? O ha bisogno di essere "sincronizzato" anche alla CA? Cioè, il mio server web detiene CertA, e il sito CA detiene anche CertA.

tls certificates certificate-authority

posta Pang Ser Lark 12.08.2015 - 06:07

fonte

1 risposta

Leggi altre domande sui tag tls certificates certificate-authority

Diverse routine di hashing supportano il lavoro lato client. L'hash non diventa una password equivalente? qual è l'hash più sicuro per i database di definizione dei virus nel 2015?

score 3 · Accepted Answer

In breve: puoi iniziare a utilizzare CertA nuovamente, fino alla data di scadenza, poiché la CA non è direttamente coinvolta quando vengono utilizzati i certificati.

La CA non è direttamente coinvolta nell'uso dei certificati, a meno che tu abbia revocato il certificato CertA. Revoca significa che vai alla CA e dici esplicitamente "Il certificato CertA è stato compromesso". Di solito c'è una specie di sezione sul sito Web della CA per farlo. Quindi revocheranno il certificato, il che significa che annuncia ai browser che il certificato non è più sicuro (attraverso diversi mezzi, CRL e OCSP sono le parole chiave che si desidera cercare per saperne di più).

Quindi, supponendo che tu non abbia revocato CertA esplicitamente, puoi usarlo di nuovo.

modifica:
Si noti che esistono alcuni casi limite in cui esiste uno scenario simile al proprio, in cui un certificato / insieme di certificati specifici viene identificato come l'unico valido per un dominio o un server. Se vuoi implementarlo, ci sono diversi modi per farlo ( DANE , certificate pinning e si avvicina alle estensioni del browser come CertificatePatrol o convergence ), ma tutti sono molto sperimentali al momento, e direi è improbabile che questo cambierà nel prossimo futuro. Puoi trovare ulteriori informazioni all'indirizzo OWASP e questa domanda sul blocco dei certificati .