Relación entre la base de datos de certificados SSL y la del sitio de CA

Question

Relación entre la base de datos de certificados SSL y la del sitio de CA

#1 de Rens van der Heijden (3 votos)

1

Diga que estoy usando un sitio de CA de terceros de confianza para administrar mi certificado. Creé un nuevo certificado llamado CertA en la interfaz web de CA, descargué el certificado firmado y lo uso en mi servidor web. Algún tiempo después, encontré algunos errores con mi aplicación web después de implementar CertA. Así que guardé el archivo cert.db y key.db y procedí a volver a emitir un nuevo certificado llamado CertB e instalarlo en mi servidor web.

La pregunta ahora es la siguiente: si quiero usar CertA nuevamente, ¿puedo hacerlo copiando de nuevo mi key.db y cert.db guardados y dejar el registro en la CA como CertB? O ¿también debe estar "sincronizado" en la CA? Es decir, mi servidor web posee CertA, y el sitio de CA también tiene CertA.

tls certificates certificate-authority

pregunta Pang Ser Lark 12.08.2015 - 06:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates certificate-authority

¿Qué tan seguro es si se expone el texto cifrado? Mejores prácticas para https Generación de clave privada

score 3 · Accepted Answer

En resumen: puede comenzar a usar CertA nuevamente, hasta su fecha de caducidad, ya que la CA no participa directamente cuando se usan los certificados.

La CA no participa directamente en el uso de certificados, a menos que haya revocado el certificado CertA. Revocación significa que usted va a la CA y explícitamente les dice "El certificado CertA fue comprometido". Normalmente hay algún tipo de sección en el sitio web de CA para hacer eso. Luego, revocarán el certificado, lo que significa que anuncia a los navegadores que el certificado ya no es seguro (a través de diferentes medios, CRL y OCSP son palabras clave que desea buscar para obtener más información).

Entonces, asumiendo que no revocaste CertA explícitamente, puedes usarlo nuevamente.

editar:
Tenga en cuenta que hay algunos casos límite en los que existe un escenario similar al suyo, donde un certificado / conjunto de certificados específico se identifica como el único válido para un dominio o servidor. Si desea implementar esto, hay varias formas de hacerlo ( DANE , fijación de certificados , y enfoques utilizando extensiones del navegador como CertificatePatrol o convergencia ), pero todos ellos son muy experimentales en este momento, y diría es poco probable que esto cambie en un futuro cercano. Puede encontrar más información en OWASP y esta pregunta sobre el anclaje de certificados .