Si bien cada CA tiene sus propias políticas y procedimientos que siguen con respecto a cuándo emitir y revocar certificados, es un conjunto común de Requisitos de línea de base que deben cumplir todas las Autoridades de Certificación de confianza pública (por parte de los proveedores del navegador).
Los requisitos de referencia especifican la siguiente lista de condiciones bajo las cuales un CA debe revocar un certificado:
4.9.1.1. Razones para revocar un certificado de suscriptor
La CA DEBE revocar un certificado dentro de las 24 horas si uno o más de
ocurre lo siguiente:
- El Suscriptor solicita por escrito que la CA revoque el Certificado;
- El suscriptor notifica a la CA que la solicitud de certificado original no fue autorizada y no otorga retroactivamente
autorización;
- La CA obtiene evidencia de que la clave privada del suscriptor correspondiente a la clave pública en el certificado sufrió una clave
Compromiso o ya no cumple con los requisitos de las Secciones
6.1.5 y 6.1.6;
- La CA obtiene evidencia de que el certificado fue mal utilizado;
- La CA tiene conocimiento de que un Suscriptor ha violado una o más de sus obligaciones importantes en virtud del Acuerdo del Suscriptor o los Términos de
Utilizar;
- La CA tiene conocimiento de cualquier circunstancia que indique que el uso de un Nombre de dominio totalmente calificado o una dirección IP en el Certificado es no
más tiempo permitido legalmente (por ejemplo, un tribunal o un árbitro ha revocado un
El derecho del Registrador de Nombre de Dominio a usar el Nombre de Dominio, un
Contrato de licencia o servicios entre el Registrador de Nombres de Dominio y
el solicitante ha finalizado, o el registrante de nombres de dominio ha fallado
para renovar el Nombre de Dominio);
- La CA tiene conocimiento de que se ha utilizado un certificado comodín para autenticar a un subordinado engañoso totalmente calificado.
Nombre de dominio;
- La CA tiene conocimiento de un cambio importante en la información contenida en el Certificado;
- La CA tiene conocimiento de que el Certificado no se emitió de acuerdo con estos Requisitos o la Política de Certificación de la CA o
Declaración de práctica de certificación;
- La CA determina que la información que aparece en el Certificado es inexacta o engañosa;
- La CA deja de operar por cualquier motivo y no ha hecho arreglos para que otra CA brinde soporte de revocación para el
Certificado;
- El derecho de la CA a emitir Certificados bajo estos Requisitos expira o se revoca o termina, a menos que la CA haya hecho
arreglos para continuar manteniendo el depósito de CRL / OCSP;
- La CA tiene conocimiento de un posible compromiso de la clave privada de la CA subordinada utilizada para emitir el certificado;
- La revocación es requerida por la Política de Certificación de CA y / o la Declaración de Práctica de Certificación; o
- El contenido técnico o el formato del certificado presenta un riesgo inaceptable para los proveedores de software de aplicación o las partes que confían
(por ejemplo, el foro CA / Browser podría determinar que una
El algoritmo criptográfico / de firma o el tamaño de la clave presenta un aspecto inaceptable
riesgo y que dichos Certificados deben ser revocados y reemplazados por las AC
dentro de un período de tiempo determinado).
Fuente: Versión 1.4.9 de la línea de base de CAB Requisitos .
Tenga en cuenta que estos requisitos solo indican cuándo un CA debe revocar un certificado. No restringen la revocación de certificados por parte de las CA por razones que no están en esta lista. Las CA individuales pueden tener sus propias políticas que especifican otras condiciones bajo las cuales pueden revocar un certificado.
En cuanto a cuándo una CA se negará a emitir un certificado, esa pregunta es mucho más complicada de responder. La razón principal por la que se requeriría que una CA se niegue a emitir un certificado sería cuando la persona u organización que solicita el certificado no puede demostrar que es quien dice ser. Los detalles de qué tipo de pruebas de identidad se requieren, y otras condiciones bajo las cuales una CA debe negarse a emitir un certificado, de nuevo, se especifican en los Requisitos de referencia.
Por lo que yo sé, los Requisitos de Línea de Base no requieren que las AC supervisen si las personas u organizaciones a las que emiten certificados los están utilizando para actividades ilegales. La aplicación de la ley no está dentro del alcance de las responsabilidades de una AC.