Quiero asegurarme de comprender bien la situación en la que el certificado SSL está comprometido.
Si pido una nueva clave, supongo que el certificado anterior seguirá siendo válido. Las futuras comunicaciones con el nuevo certificado serán válidas, pero tendré problemas potenciales.
Lo mejor en IMHO es revocar el certificado y usar un nuevo en su lugar.
Gracias por los consejos
"Rekey" es un término que generalmente se emplea al obtener un nuevo certificado: significa que desea que el nuevo certificado use un par de claves recién generado, en lugar de reutilizar la misma clave pública que estaba en un certificado anterior.
"Revocación" es el acto de declarar, en el lado de CA, que un certificado dado ya no debe considerarse válido (es un poco como que el certificado caduque antes de su vencimiento nominal). fecha). Cuando se revoca un certificado, su número de serie aparece en la CRL publicada por la CA (así es como el resto del mundo tiene conocimiento de la revocación).
Las dos acciones son en su mayoría ortogonales entre sí, pero hay situaciones en las que desea que ambos. En particular, si su clave privada fue robada:
Debe revocar el certificado. El compromiso clave es la razón principal por la que necesitamos un sistema de revocación. Este debería evitar el uso de la clave robada para alimentar un servidor falso (es decir, suponiendo que los navegadores de clientes obtengan y respeten la información de revocación, lo cual es una suposición bastante audaz).
Desde que se revocó el certificado, ya no puede usarlo para su propio servidor (lo bloquea a usted y al ladrón por igual), por lo que probablemente necesite un nuevo certificado. Y como la llave antigua fue robada, querrá una nueva, por lo que también es una situación de "cambio de clave".
Algunas CA activará automáticamente la revocación cuando solicite un nuevo certificado con un nuevo par de claves; algunos otros no lo harán. Algunos hablarán de que el antiguo certificado esté "desactivado", que puede ser lo mismo que "revocación", o podría ser otra cosa (por ejemplo, algo así como una cuenta cercana a su lado), dependiendo de cuánto abusen de la terminología. Cualquier AC decente debería tener un procedimiento específico para un compromiso clave que haga las cosas correctamente.
No creo que debas poner el problema como este: reiniciar vs revocar.
Se ha vuelto a teclear
cuando mueves tu sitio web a un nuevo servidor, tu servidor se bloqueó o perdiste tu clave privada También es necesario volver a introducir la clave para agregar o eliminar Asignar nombres alternativos (SAN) en un UCC SSL. ( fuente )
Cuando solicita un nuevo par de claves, el certificado anterior se revoca automáticamente.
NOTA: desactivamos automáticamente el certificado anterior cuando emitimos el nuevo certificado con nueva clave. No revoque, a menos que esté seguro de que desea cancelar el certificado existente. Cuando revoca, el crédito SSL se cancela y no puede volver a ingresar el certificado.
Por lo tanto, no es una cuestión de " vs ", es una cuestión de " y ", y así es como deben hacerse las cosas. Al volver a introducir la clave, el certificado antiguo debe ser revocado.
Lea otras preguntas en las etiquetas tls certificates certificate-revocation