"Rekey" es un término que generalmente se emplea al obtener un nuevo certificado: significa que desea que el nuevo certificado use un par de claves recién generado, en lugar de reutilizar la misma clave pública que estaba en un certificado anterior.
"Revocación" es el acto de declarar, en el lado de CA, que un certificado dado ya no debe considerarse válido (es un poco como que el certificado caduque antes de su vencimiento nominal). fecha). Cuando se revoca un certificado, su número de serie aparece en la CRL publicada por la CA (así es como el resto del mundo tiene conocimiento de la revocación).
Las dos acciones son en su mayoría ortogonales entre sí, pero hay situaciones en las que desea que ambos. En particular, si su clave privada fue robada:
-
Debe revocar el certificado. El compromiso clave es la razón principal por la que necesitamos un sistema de revocación. Este debería evitar el uso de la clave robada para alimentar un servidor falso (es decir, suponiendo que los navegadores de clientes obtengan y respeten la información de revocación, lo cual es una suposición bastante audaz).
-
Desde que se revocó el certificado, ya no puede usarlo para su propio servidor (lo bloquea a usted y al ladrón por igual), por lo que probablemente necesite un nuevo certificado. Y como la llave antigua fue robada, querrá una nueva, por lo que también es una situación de "cambio de clave".
Algunas CA activará automáticamente la revocación cuando solicite un nuevo certificado con un nuevo par de claves; algunos otros no lo harán. Algunos hablarán de que el antiguo certificado esté "desactivado", que puede ser lo mismo que "revocación", o podría ser otra cosa (por ejemplo, algo así como una cuenta cercana a su lado), dependiendo de cuánto abusen de la terminología. Cualquier AC decente debería tener un procedimiento específico para un compromiso clave que haga las cosas correctamente.