吊销证书有多种原因,最常见的原因是私钥泄露。
我的问题是:
如果需要吊销证书颁发机构的证书会怎样?
这是否意味着它签署的所有证书都应该被视为已撤销?
这似乎是合理的,因为 CA 将颁发一个新证书,因此是一个新的 key 对。
另一方面,撤销和重新颁发特定 CA 迄今为止已经颁发的可能数百个证书的过程是什么?
我对吊销 CA 证书的后果感到困惑。
有人可以详细说明一下吗?
最佳答案
您无法撤销受信任的(例如根 CA)证书,因为它是由 CA 自签名的,因此没有可用于验证 CRL 的受信任机制。如果根 CA 遭到破坏,那将是非常糟糕的 :-)。您必须从您的商店中手动删除 CA(如果这些根证书是这些分发的一部分,这可能会通过浏览器或操作系统更新发生)。
撤销其证书由根 CA 之一颁发的 CA 意味着该 CA 颁发的所有证书都不再有效。这发生在路径处理期间,我们从我们试图验证的证书开始,然后构建一条路径,一直到受信任的根。该路径中的每个证书都应该检查其各种路径约束,并且应该使用 CRL(或其他机制)来确定它们是否已被撤销。如果任何证书失败,则整个路径被视为无效。
所以简短的回答是,是的。如果 CA 证书被吊销,它颁发的所有证书(依此类推)都应被视为无效。
关于security - 如何处理根证书的吊销?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5930529/