叮铃铃,叮铃铃……
“喂,你好,您的证书已被CA机构吊销……”
What!
近期,像这样的电话,天威诚信工作人员一天得打好几通,这究竟是怎么一回事?证书好好的怎么会被吊销呢?
什么是证书吊销?证书吊销是指已经签发的证书从签发机构处注销。证书吊销后将失去加密效果,浏览器不再信任该证书。
证书吊销后会出现什么情况?浏览器会提示“此网站出具的安全证书已过期”,同时在浏览器的地址栏也没有安全锁,https链接也会被划上了一条斜红线,表明网站的SSL证书已经被吊销了。
证书吊销的原因最通常的原因是——你的私钥泄露啦!
众所周知,SSL证书包含一对唯一匹配的公钥和私钥,公钥和私钥本身虽然不直接用来加密和解密数据内容,但是却会协商算法、安全交换会话密钥。证书私钥一旦被泄露,会导致加密会话的密钥存在可以被拦截、侦听的风险,如果黑客通过某种途径获取到了某个网站的私钥,那么就可以对这个网站实行中间人攻击。
在公钥基础设施体系中,CA负责签发证书,同时,为了维护PKI的完整性,CA有合理吊销和管理证书的权限。当服务器的证书不再合法时(比如服务器提前更换证书、证书的公钥被破解、服务器端存储的证书的私钥泄露等),负责签发这张证书的CA必须要在规定时间内吊销该证书,并通过相关途径将该证书失效信息对外发布,帮助客户端进行证书合法性校验。
而私钥不再安全的情况可能是由很多原因造成的。
1. 您可能意外地在某些公共网站上(例如github这类平台)上传了您的私钥信息;
2. 黑客可能进入了您的服务器并复制了私钥;
3. 黑客可能暂时获取了您的服务器或 DNS 配置的控制权,并验证、颁发了他们控制私钥的证书。
如何预防私钥泄露呢?
一般来说,证书颁发机构和数字证书行业最常见的一种做法是“永远不要让你的私钥发生任何事情。”然而百密终有一疏,我们该如何预防私钥泄露呢?
一、私钥文件由专人集中管理,从制作产生到最终的安装使用都执行严格的私钥管理办法。确保私钥在整个生命周期不会被任何第三方获取到。
二、证书生命周期结束后,建议重新制作新的私钥和请求文件申请。避免私钥被第三方攻击者暴力破解的可能性。
三、一旦通过任何渠道了解到证书的私钥可能遭到泄漏,证书申请人应第一时间联系天威诚信,天威诚信会通过紧急证书吊销方案第一时间对证书进行吊销处理,并需要申请人重新制作新的CSR和私钥为客户进行证书替换服务,确保将因私钥泄漏导致的损失降到最低。
四、如果您的业务过程中需要把您的证书和私钥通过上传等方式提交给第三方平台,天威诚信在此建议您做好本地业务和第三方业务平台密钥切割分离——本地业务使用一套独立的证书和私钥文件,为第三方业务平台重新创建一套证书和私钥并交付给第三方平台使用。
五、使用证书智能管理系统中的密钥管理功能
- 本地自动创建并加密保存证书私钥,密钥存储更安全。
- 支持证书格式本地互转,密钥转换防泄露。
- 支持私钥的导入以及证书的多种格式的导入和导出。
最后,天威诚信提醒您涉及私钥无小事,千万不要让你的私钥发生任何事情啦!