什么是证书撤销?何时应撤销 SSL 证书?
数字证书对于身份优先安全至关重要。生命周期管理(包括证书撤销)至关重要。证书撤销可防止安全漏洞和漏洞。
数字证书是当今身份优先安全策略背后的驱动力,鉴于对这些证书的依赖性不断增加(以及证书数量不断增加),战略生命周期管理的重要性不容否认。然而,需要证书的个人或实体通常专注于该生命周期的早期阶段:发现、颁发,以及最终的续订。是的,这些过程至关重要,但有时它们需要伴随另一个通常不太为人理解的步骤:证书撤销。
证书撤销会在证书到期前使其失效。这是证书管理生命周期中不可或缺的一部分,因为它有助于防止因私钥泄露、证书颁发错误等原因造成的安全漏洞和漏洞。
在本文中,我们将讨论此生命周期阶段的目的、何时需要它、它包含什么内容等等。
证书撤销的目的是什么?
如果 SSL/TLS证书被盗用,证书吊销将起到保护作用。当检测到问题迹象时,应吊销数字证书,以防止未经授权的用户冒充实体或以其他方式允许不良行为者利用被盗用的证书。
从个人层面来看,这可确保每份证书都能发挥其主要作用:建立安全连接,最终让您更加安心。撤销功能在更大范围内也很重要,因为它们有助于更广泛的风险管理工作,并有助于提高 Web 服务器、浏览器和其他各方之间的信任。
何时撤销SSL证书
证书撤销非常常见,证书持有者在某个时候采取这一措施并不罕见。以下是 SSL 证书被撤销的主要原因:
- 密钥泄露。引发证书撤销的主要问题之一是:证书私钥被盗或以其他方式泄露的迹象。这些私钥可能由于密钥管理不善、加密薄弱或一系列其他问题而泄露 — 但当这种情况发生时,及时撤销证书至关重要。
- 错误颁发。数字证书旨在验证证书持有者的身份。如果证书颁发机构(CA)未能正确验证该身份,则获得证书的实体可能是欺诈者。在某些情况下,威胁行为者设法通过网络钓鱼和其他恶意活动获取证书。虽然与备受尊敬的 CA 合作可以限制此类问题的可能性,但提供撤销选项也很重要,以便在最坏的情况下可以立即撤销错误颁发的证书。
- 域名所有权变更。证书撤销并不总是严格的反应性行为。这也可能是为了响应域名所有权变更而发生的,目的是防止新域名所有者滥用。在这种情况下,撤销也是合理的,因为如果证书的真实性受到质疑,可能会产生信任缺失。
- 网络攻击。如果发生恶意软件或其他网络攻击,立即撤销证书至关重要。否则,受损证书可能会进一步传播恶意软件。
什么是证书吊销列表 (CRL)?
证书吊销列表 (CRL)是已吊销的数字证书的记录。此列表由证书颁发机构创建和签名,它提供了一种简单的方法来指示哪些证书不再有效且不应被信任。
CRL 条目可能包括证书序列号以及有关撤销日期和颁发 CA 的详细信息。然后,这些信息会被发送到各个分发站点,以确保它们可以访问,以便依赖它们的各方可以轻松下载和缓存这些资源。这些 CRL 应定期更新,以确保有关撤销证书的详细信息准确无误。
什么是在线证书状态协议 (OCSP)?
在线证书状态协议(OCSP) 允许实时检查证书状态,因为 Web 浏览器和其他实体可以向 OCSP 服务器发送请求以获取有关证书撤销状态的信息。这有助于填补 CRL 的空白,因为该列表是定期更新的,而不是实时更新的。
OCSP 流程始于客户端向 OCSP 响应器发出请求,该响应器可能由相关 CA 直接运营。收到此 OCSP 请求后,响应器会立即检查相关证书的状态。随后的响应应立即显示证书是否仍然有效或已被撤销。然后,客户端可以根据此响应采取行动,或继续检查 CRL 并获取其他详细信息。
浏览器如何处理吊销的证书
当 Web 浏览器遇到 SSL/TLS 证书时,它们会完成多项检查以确认其有效性。这包括验证证书上的数字签名、确认证书在有效期内,然后完成证书吊销状态检查。
为了完成此检查,浏览器使用 CRL 或 OCSP。如果这些解决方案表明证书尚未被撤销,则可以继续连接。但是,如果它们表明证书已被撤销,则会显示警告,以帮助保护可能处于危险中的用户。在某些情况下,这些连接可能会被完全禁止。如果用户能够继续,他们可能会面临重大的安全风险。
撤销后重新颁发 SSL
撤销只是证书生命周期中的一个步骤,该生命周期还包括其他几个步骤:颁发、使用和监控、到期和续订。当撤销被证明是必要的时,必须制定计划以确保有效数字证书仍然具有强大的覆盖范围。这通常是通过重新颁发来处理的,其中向 CA 提交请求并验证寻求新证书的个人或实体的身份。
在此过程中,可能需要进一步检查状态,以确保受损证书已被正确撤销。此外,CA 可能会进行全面审查,以确定上次撤销的情况。这对于促进合法的重新颁发请求非常重要。与“典型”续订流程一样,验证至关重要,包括对域所有权和其他详细信息的审查。然后可以放心地颁发、安装和配置新证书。
(本文源自Sectigo)