Gardez votre clé privée en sécurité. Quel que soit le type de certificat numérique dont vous disposez, votre responsabilité est de conserver la clé privée en toute sécurité. Si une personne non autorisée accède à votre clé privée, elle peut assumer l'identité que votre certificat est censé protéger (par exemple vous, votre entreprise et / ou votre site Web).
Parfois, malgré tous vos efforts, votre clé privée peut être compromise. Une clé privée est dite compromise si sa valeur a été divulguée à une personne non autorisée ou si une personne non autorisée y a eu accès. Bien qu'il puisse être très difficile de savoir qu'une clé privée a été acquise par de mauvais acteurs, si vous identifiez une faille dans votre sécurité, il vaut mieux se tromper du côté de la sécurité et soupçonner que votre clé a peut-être été compromise.
Si votre clé privée est compromise, elle doit être considérée comme une urgence et votre priorité doit être de résoudre le problème immédiatement. Cet article vous aidera à être en mesure de reconnaître les signes d'une clé compromise et les étapes à suivre pour rétablir sécurité et assurance.
Si votre clé a été compromise ou si vous pensez qu'elle a été compromise, vous pouvez et devez soumettre une demande de révocation à votre autorité de certification. Si votre certificat a été émis via SSL.com, vous pouvez soumettez votre demande de révocation ici.
Si vous avez la preuve d'une faille de sécurité, pouvez prouver que la demande de certificat n'a pas été autorisée ou si l'autorité de certification constate que la validation du contrôle de domaine ne peut pas être approuvée, le certificat doit être révoqué dans les 24 heures.
Pour la plupart des autres raisons, principalement une erreur de l'utilisateur, l'autorité de certification peut avoir jusqu'à 5 jours pour se révoquer.
Les exigences de base de CA / Browser Forum spécifient 15 raisons pour lesquelles une clé peut devoir être révoquée. Vous pouvez lire les 15 ici, mais ils peuvent être résumés comme suit:
• Un incident de sécurité se produit (ou est supposé s'être produit) sur votre serveur (ou tout autre ordinateur où la clé privée est utilisée ou stockée).
• Un membre du personnel ayant accès à votre clé privée part.
• Le fichier de clé privée est supprimé, détruit ou perdu.
• Une erreur s'est produite lors de la génération de la paire de clés.
Une faille de sécurité est un bon moment pour mettre à jour vos pratiques de sécurité et pour signaler que votre clé est compromise. Encore une fois, il vaut mieux faire preuve de prudence en ce qui concerne la sécurité de votre certificat. Si votre clé a été compromise ou si vous pensez qu'elle l'a été, soumettez immédiatement une demande de révocation à votre autorité de certification.
Perdre votre clé privée n'est pas nécessairement une raison pour soumettre une demande de révocation, selon la façon dont vous l'avez perdue. Si, par exemple, vous avez accidentellement supprimé le fichier et qu'il n'y a pas de sauvegarde, vous n'avez pas besoin de déposer une demande de révocation. Au lieu de cela, vous pouvez contacter votre autorité de certification pour que le certificat soit réémis. SSL.com peut émettre un nouveau certificat à partir d'une nouvelle paire de clés que vous générez.
Si, cependant, vous l'avez perdu d'une manière qui pourrait très probablement tomber entre les mains de quelqu'un d'autre, comme un disque dur volé ou égaré, vous voudrez probablement prendre des mesures pour que le certificat soit révoqué.
Toutes les situations ne nécessitent pas la soumission d'une révocation. Au lieu de cela, vous pouvez utiliser SSL.com SSL Manager Outil (disponible pour les utilisateurs Windows) pour rationaliser le processus de recréation, qui nécessitera la génération d'un nouveau CSR (en utilisant les mêmes informations sur votre demande initiale). Vous pouvez également ressaisir la clé à l'aide du portail Web SSL.com ou via l'API.
Recréer votre certificat est généralement une bonne pratique de sécurité. Pensez-y de la même manière que la mise à jour d'un mot de passe sur votre ordinateur, c'est une autre façon de garder une longueur d'avance sur les méchants.
Pour garder votre clé privée en sécurité, vous devez toujours savoir où elle se trouve. Si tu ne sais pas où c'est, consultez cette FAQ.
La plupart des clés compromises sont dues à une erreur de l'utilisateur ou à des failles de sécurité générales. Maintenir une bonne hygiène technologique en mettant à jour régulièrement les mots de passe, en recréant votre certificat au fur et à mesure que votre personnel entre et sort, et d'autres bonnes pratiques sont des moyens solides de sécuriser votre clé privée et de conserver l'assurance que vous recherchez.
