El PKI RFC habla de revocar o suspender certificados. También se habla de revocar certificados de CA. Sin embargo, no pude encontrar nada acerca de si una CA o los certificados de una Sub CA pueden ser revocados o no en la RFC.
Lo que es práctica común. Si una CA considera que una subCA está comprometida, es posible que quieran suspender el certificado hasta el momento, confirman que esto es cierto.
¿Alguno de los Software de emisión de certificados comerciales lo permite?
Esto puede verse como una respuesta descabellada, pero no lo es si te quedas conmigo. La PKI se refiere tanto al papeleo (políticas y procedimientos) como a las limitaciones técnicas. Entonces, si ha definido en su Declaración de práctica de certificado que su organización puede y suspenderá los certificados de CA como parte de las operaciones normales, entonces Sí, creo que los principales paquetes de software de CA mantienen las facilidades para hacer precisamente eso.
Me preguntaría si esto es algo que realmente quieres hacer. Si lo viera en su CPS, sería un poco menos probable que quisiera establecer un puente con usted, dependiendo de la situación. Si cree que una CA ha sido comprometida, es difícil presentar un argumento en contra de la revocación y la reemisión. Especialmente si tiene una arquitectura de 3 niveles y tiene CA aisladas por tipos de políticas en el nivel 2.
Si una CA comercial cree que está comprometida, revocará las CA sub que creen que están afectadas. Esto no significa que todo el software que confíe en CA desconfíe automáticamente de la CA comprometida.
Losnavegadores, por ejemplo, deben consultar una lista de revocación de certificados (CRL) antes de confiar en una cadena de certificados. Sin embargo, estas comprobaciones se realizan incorrectamente o no existen en absoluto. Sin embargo, generalmente actualizan su almacén de certificados de confianza con una actualización del navegador. Otro software comercial que confíe en un certificado comprometido también debe actualizar sus tiendas de confianza. Es responsabilidad del software mantenerse al día con los compromisos conocidos de certificados y autoridades de certificación.
No estoy completamente seguro de lo que quiere decir con "Software de emisión de certificados comerciales". Pero estoy seguro de que las CA como Symantec (Verisign), Comodo y Go Daddy proporcionan algún mecanismo para revocar sus certificados. Sin embargo, depende del software que confía en el certificado para asegurarse de que esas revocaciones de certificados se implementen de alguna manera. Ya sea mediante el uso de CRL actualizados, o al proporcionar actualizaciones al software para eliminar certificados no confiables.
CA o una Sub CA
Cualquier cosa aparte de una CA raíz puede, en principio, ser revocada usando las formas regulares. (CRL y / o OCSP)
[...] pueden querer suspender el certificado hasta el momento, confirman que esto es cierto.
Técnicamente, debería poder hacer esto utilizando código de razón "certificateHold (6)" en su CRL. Esta es una revocación temporal y puede ser deshecha. PERO: No puedo decirle si algún cliente implementa esto correctamente. (Pero no sería demasiado optimista.)
¿Alguno de los Software de emisión de certificados comerciales lo permite?
Lo siento. Ni idea. Intente averiguar si su CRL le permite dar un código de razón en absoluto.
Lea otras preguntas en las etiquetas public-key-infrastructure certificate-authority certificate-revocation