No hay un directorio global de todos los certificados emitidos (X.509 fue diseñado para admitir el Directorio, pero nunca existió en la práctica). Deberás contactar a "todos los CA" y preguntarles amablemente. Básicamente, esto significaría ir a su sitio y usar la función "Perdí mi contraseña" para recuperar el control de su cuenta, si existe. Los detalles varían dependiendo de la CA.
Estrictamente hablando, el número de CA posibles no está limitado. Puede comenzar con la CA raíz utilizada por el sistema operativo o el navegador habitual, pero cada una de estas CA puede haber emitido certificados para las sub-CA que mantienen su propia lista de clientes. Por ejemplo, mi propio certificado de dominio fue emitido por mi registrador, que es una CA intermedia que obtuvo su certificado de otra CA raíz. Por lo tanto, no puede estar seguro de haber detectado y revocado todos los certificados emitidos en su nombre.
Hay algunas circunstancias atenuantes, sin embargo:
-
Para obtener los certificados falsos, el atacante debe haber pagado por ellos. Esto podría haber involucrado números de tarjetas de crédito robadas, pero cuando el pago se devuelve, la CA lo notará ("¿dónde está mi dinero?") Y puede revocar automáticamente los certificados ofensivos. Por otro lado, si la tarjeta de crédito es genuina, puede apuntar al atacante.
-
Del mismo modo, dado que el atacante tuvo que pagar de alguna manera, entonces probablemente se concentró en un par de CA, no en un centenar.
-
Los certificados caducan después de uno o dos años (porque CA quiere que sus clientes sean clientes recurrentes ). Así que todo volverá a estar listo para el 2016.
-
Muchos sistemas operativos o navegadores no comprueban la revocación de todos modos. Por lo tanto, revocar certificados es bonito pero realmente no resuelve las cosas.