J'utilise un certificat auto-signé pour signer des certificats clients, et j'ai mis en place une procédure pour remplacer ce certificat au cas où la clé privée serait compromise. Malheureusement, cela signifie que tous les certificats clients seront invalidés. Je travaille sur l'implémentation d'un PKI sur mon système, ce qui signifie que je pourrais avoir un certificat racine "froid" qui est seulement utilisé pour émettre des CA intermédiaires, qui à leur tour pourraient signer mes certificats clients. Donc, dans le monde parfait avec une PKI solide, comment puis-je récupérer à partir d'une compromission de clé privée de certificat intermédiaire, sans que mes clients aient à re-signer tous leurs certificats? Je veux dire, à partir d'aujourd'hui avec mon seul certificat auto-signé, je n'ai aucun doute que je devrais demander à tous mes clients de renvoyer un CSR et de signer à nouveau tous les certificats avec une nouvelle clé privée. Et les faire bloquer jusqu'à ce que leur nouveau certificat soit signé.
Mais avec une PKI, où je considère que le certificat racine n'est pas compromis, il est possible d'avoir une transition en douceur vers un nouveau certificat intermédiaire? Sens lisse, pas d'interruption de service pour mes clients? Par exemple, je pourrais imaginer signer leur certificat avec deux certificats intermédiaires sur deux machines physiquement différentes, de sorte qu'avec un certificat révoqué, la deuxième signature serait toujours valide. Ai-je raison?
Existe-t-il des «normes de l'industrie» à ce sujet?Comment récupérer à partir d'une compromission de certificat CA
0
A
Répondre
1
Une infrastructure à clé publique correctement implémentée ne vous a pas protégé contre la réémission de tous les certificats signés à partir de l'autorité de certification compromise. Si l'autorité de certification signataire est compromise, vous devez révoquer tous les certificats. La double signature n'a pas aidé, que le certificat soit révoqué ou non.
Dans un domaine Windows, vous pouvez par exemple utiliser une autorité de certification intégrée Active Directory et implémenter l'inscription automatique aux clients. Vous pouvez également implémenter une CA comme letsencrypt dans votre entreprise. Boulder - An ACME CA https://github.com/letsencrypt/boulder