Wie wird der Widerruf eines Root-Zertifikats behandelt?

8

Es gibt mehrere Gründe, ein Zertifikat zu widerrufen, wobei die gängigste eine Kompromittierung des privaten Schlüssels ist.

Meine Frage ist:
Was passiert, wenn das Zertifikat einer Zertifizierungsstelle widerrufen werden muss?

Bedeutet dies, dass all die Zertifikate, die es signiert hat, als widerrufen gelten sollten?
Dies erscheint sinnvoll, da der CA ein neues Zertifikat, also ein neues Schlüsselpaar, ausgestellt wird.

Auf der anderen Seite, was wäre der Prozess, um möglicherweise Hunderte von Zertifikaten zu widerrufen und erneut auszugeben, die die spezifische CA bereits bisher herausgegeben hat?

Ich bin verwirrt über die Konsequenzen des Widerrufs eines CA-Zertifikats.
Könnte jemand bitte näher darauf eingehen?

    
Cratylus 08.05.2011, 21:30
quelle

3 Antworten

8

Sie können ein vertrauenswürdiges Zertifikat (z. B. Stammzertifizierungsstelle) nicht widerrufen, da es von der Zertifizierungsstelle selbst signiert wurde und daher kein vertrauenswürdiger Mechanismus zum Überprüfen einer Zertifikatsperrliste vorhanden ist. Wenn eine Root-CA kompromittiert ist, ist sie sehr schlecht :-). Sie müssen die Zertifizierungsstelle manuell aus Ihrem Speicher entfernen (oder dies kann durch Browser- oder Betriebssystemupdates geschehen, wenn diese Stammzertifikate Teil dieser Distributionen waren).

Durch das Entfernen einer Zertifizierungsstelle, deren Zertifikat von einer der Stammzertifizierungsstellen ausgestellt wurde, sind alle von der Zertifizierungsstelle ausgestellten Zertifikate nicht mehr gültig. Dies geschieht während der Pfadverarbeitung. Wir beginnen mit dem Zertifikat, das wir zu überprüfen versuchen, und erstellen dann einen Pfad bis zu einem vertrauenswürdigen Stammverzeichnis. Für jedes Zertifikat in diesem Pfad sollten die verschiedenen Pfadeinschränkungen überprüft werden. Eine CRL (oder ein anderer Mechanismus) sollte verwendet werden, um festzustellen, ob sie widerrufen wurden. Wenn ein Zertifikat fehlschlägt, wird der gesamte Pfad als ungültig betrachtet.

Die kurze Antwort lautet also: Ja. Wenn das CA-Zertifikat widerrufen wird, sollten alle Zertifikate, die es ausgestellt hat (und so weiter den Pfad hinunter) als ungültig betrachtet werden.

    
Dean Povey 08.05.2011 21:36
quelle
5

Das Entziehen eines Zertifikats bedeutet Folgendes: "Obwohl der Inhalt dieses Zertifikats gut aussieht, sollte das Zertifikat nicht verwendet werden". Es ist eine Möglichkeit, die kryptografische Signatur des Zertifikats zu "löschen".

Vor der Verwendung eines Zertifikats (dh Verwendung des im Zertifikat enthaltenen öffentlichen Schlüssels, beispielsweise im Rahmen einer SSL-Verbindung) muss das Zertifikat validiert werden, dh die Signatur des Zertifikats muss relativ zum öffentlichen Schlüssel verifiziert sein in einem CA-Zertifikat enthalten. Dies bedeutet, dass das Zertifizierungsstellenzertifikat verwendet, dh die Signatur auf diesem -Zertifikat muss ebenfalls verifiziert werden usw. bis hin zu einer "Stammzertifizierungsstelle", die auch als "Vertrauensanker" bezeichnet wird ", von dem angenommen wird, dass es immer verifiziert wird (es ist in jeder Software fest codiert, die die Verifizierung durchführt).

Wenn ein CA-Zertifikat widerrufen wird, kann es nicht verwendet werden (das ist der Punkt, an dem ein Zertifikat widerrufen wird: so dass es nicht mehr verwendet wird). Insbesondere sollte die Zertifikatsüberprüfung das CA-Zertifikat nicht mehr verwenden können. Die von dieser Zertifizierungsstelle ausgestellten Zertifikate sind nicht widerrufen: möglicherweise können sie mit einem anderen CA-Zertifikat verifiziert werden, das den gleichen Schlüssel enthält: Ein CA-Zertifikat ist wie jedes andere Zertifikat auch bindet einen Namen mit einem öffentlichen Schlüssel; Nichts hindert die Existenz mehrerer eindeutiger Zertifikate, die diese Bindung bestätigen, und dies ist eine normale Situation im Fall von "Brücke CA" (meistens verwendet, so dass einige Zertifikate relativ zu mehreren Vertrauensankern verifiziert werden können). Natürlich, wenn das CA-Zertifikat widerrufen wird, weil der private CA-Schlüssel gestohlen wurde, dann ist die sinnvolle Vorgehensweise, alle ausgestellten Zertifikate zu widerrufen diese CA und die von ausgestellten Zertifikate , dass CA von niemandem mehr verifiziert werden kann.

Zusammenfassend kann gesagt werden, dass das Entziehen eines CA-Zertifikats nicht alle Zertifikate widerruft, die von dieser CA ausgestellt wurden, aber es verhindert, dass diese Zertifikate durch diese CA verifiziert werden.

    
Thomas Pornin 09.05.2011 09:20
quelle
0

Nein. Wenn das CA-Zertifikat widerrufen wird, sollten ausgestellte Zertifikate nicht mehr als "signiert" betrachtet werden.

    
Mel 08.05.2011 21:35
quelle