No estoy seguro de la implementación particular en Active Directory, pero en general la firma X.509 permite una recuperación mucho más fácil de un compromiso.
Se supone que una CA en línea es mucho más vulnerable que una sin conexión. Entonces, digamos que su CA en línea está comprometida y que su clave privada es potencialmente copiada.
Usted revoca el certificado de CA. Siga adelante y genere un nuevo par de llaves, un certificado, etc., ahora tiene una nueva CA en línea.
Su próximo paso depende de si tiene una CA fuera de línea o no:
-
Si tiene una CA fuera de línea, usa su CA fuera de línea para firmar su nuevo certificado de CA en línea. Bastante fácil. También es más seguro, ya que es bastante fácil que probablemente lo hagas.
-
Si no tiene una CA fuera de línea, instale su nuevo certificado de CA raíz en todos y cada uno de los equipos, teléfonos, tabletas, ... (En realidad, no lo hace: configura una CA fuera de línea y la instala en su lugar. ¡Porque aprendió a no repetir este error!) Menos seguro, porque hará todo lo posible para evitar este trabajo. ("¿Estamos realmente seguros de que la clave privada fue robada?")
Finalmente, usted firma nuevos certificados para los servidores e los instala (posiblemente incluyendo la cadena CA).
Entonces, en resumen, si tiene una CA fuera de línea, solo tiene que volver a emitir los certificados para la autenticación (por lo general, solo el servidor). Si no lo hace, no solo haga eso, también puede instalar su nueva CA raíz en todas partes.