Il PKI RFC parla di revoca o sospensione dei certificati. Parla anche della revoca dei certificati CA. Tuttavia, non sono riuscito a trovare nulla sul fatto che un certificato di CA o di una CA secondaria possa essere revocato o meno nell'RFC.
Che cosa è una pratica comune. Se un CA ritiene che un subCA sia compromesso, potrebbe voler sospendere il certificato fino a quel momento, confermando che ciò è vero.
Qualcuno del software di rilascio del certificato commerciale lo consente?
Questo potrebbe sembrare una risposta sbalzi, ma non lo è se stai con me. PKI riguarda tanto le pratiche (politiche e procedure) quanto i limiti tecnici. Quindi, se hai definito nella tua Dichiarazione di pratica dei certificati che la tua organizzazione può e sospenderà i certificati CA come parte delle normali operazioni, allora sì, credo che i principali pacchetti software di CA mantengano le possibilità di fare proprio questo.
Vorrei sapere se questo è qualcosa che vorresti davvero fare. Se lo vedessi nel tuo CPS, avrei meno probabilità di voler fare un ponte con te, a seconda della situazione. Se si pensa che una CA sia stata compromessa, è difficile formulare un argomento contro la revoca e la riemissione. Soprattutto se si dispone di un'architettura a 3 livelli e di CA isolate per tipo di politica nel livello 2.
Se una CA commerciale ritiene di essere compromessa, revocherà le CA che ritengono essere interessate. Ciò non significa che tutto il software che si fida della CA diffiderà automaticamente la CA compromessa.
I browser per esempio dovrebbero controllare un elenco di revoche di certificati (CRL) prima di fidarsi di una catena di certificati. Tuttavia, questi controlli sono notoriamente fatti in modo errato o non esistono affatto. In genere, tuttavia, aggiornano il loro archivio di certificati attendibili con un aggiornamento al browser. Altri software commerciali che si fidano di un certificato compromesso devono anche aggiornare i loro negozi fidati. Spetta al software tenere il passo con noti compromessi di certificati e autorità di certificazione.
Non sono del tutto sicuro di cosa intenda con "Software di emissione certificato commerciale". Ma sono sicuro che le CA come Symantec (Verisign), Comodo e Go Daddy forniscono tutti un meccanismo per revocare i loro certificati. Tuttavia, spetta al software che si fida del certificato per assicurarsi che tali revoche di certificati vengano implementate in qualche modo. O utilizzando i CRL aggiornati o fornendo aggiornamenti al software per rimuovere i certificati non attendibili.
Se pensate che una CA (subordinata) downstream sia compromessa, avete il dovere nella vostra posizione di fiducia di revocare la CA sospettata per impedire loro di erodere la fiducia in voi, la CA padre.
CA or a Sub CA
Qualsiasi cosa, a parte una CA radice, in linea di principio può essere revocata usando i modi regolari. (CRL e / o OCSP)
[...] they may want to suspend the certificate till the time, they confirm that this is true.
Tecnicamente dovresti essere in grado di farlo usando codice motivo "certificateHold (6)" sul tuo CRL. Questa è una revoca temporanea e potrebbe essere annullata. MA: non posso dirti se qualche cliente lo implementa correttamente. (Ma non sarei troppo ottimista.)
Do any of the Commercial Certificate issuing Software allow this?
Siamo spiacenti. Nessuna idea. Cerca di scoprire se il tuo CRL ti consente di fornire un codice motivo.
Leggi altre domande sui tag public-key-infrastructure certificate-authority certificate-revocation