Chroń swój klucz prywatny. Niezależnie od rodzaju posiadanego certyfikatu cyfrowego Twoim obowiązkiem jest zapewnienie całkowitego bezpieczeństwa klucza prywatnego. Jeśli nieupoważniona osoba uzyska dostęp do Twojego klucza prywatnego, może przyjąć tożsamość, którą Twój certyfikat ma chronić (np. Ty, Twoja firma i / lub Twoja witryna).
Czasami, pomimo najlepszych starań, Twój klucz prywatny może zostać przejęty. Mówi się, że klucz prywatny jest zagrożony, jeśli jego wartość została ujawniona osobie nieuprawnionej lub osoba nieuprawniona miała do niego dostęp. Chociaż może być bardzo trudno stwierdzić, że klucz prywatny został zdobyty przez złych aktorów, jeśli zidentyfikujesz naruszenie bezpieczeństwa, lepiej jest zbłądzić po stronie bezpieczeństwa i podejrzewać, że Twój klucz mógł zostać naruszony.
Jeśli Twój klucz prywatny zostanie kiedykolwiek naruszony, należy to traktować jako sytuację awaryjną, a Twoim priorytetem powinno być natychmiastowe rozwiązanie problemu. Ten artykuł pomoże ci rozpoznać oznaki złamanego klucza i jakie kroki należy podjąć, aby przywrócić go bezpieczeństwo i pewność.
Jeśli Twój klucz został naruszony lub podejrzewasz, że został naruszony, możesz i powinieneś złożyć wniosek o unieważnienie do swojego CA. Jeśli Twój certyfikat został wystawiony przez SSL.com, możesz prześlij swoje żądanie cofnięcia tutaj.
Jeśli masz dowód naruszenia bezpieczeństwa, możesz udowodnić, że żądanie certyfikatu nie zostało autoryzowane lub urząd certyfikacji stwierdzi, że walidacja kontroli domeny nie może być zaufana, certyfikat musi zostać unieważniony w ciągu 24 godzin.
Z większości innych powodów, głównie z powodu błędu użytkownika, urząd certyfikacji może mieć do 5 dni na odwołanie.
Podstawowe wymagania CA / Browser Forum określają 15 powodów, dla których może być konieczne unieważnienie klucza. Możesz przeczytaj wszystkie 15 tutaj, ale można je podsumować jako:
• Na Twoim serwerze (lub innym komputerze, na którym jest używany lub przechowywany klucz prywatny) wystąpił (lub prawdopodobnie miał miejsce) incydent związany z bezpieczeństwem.
• Pracownik z dostępem do Twojego klucza prywatnego odchodzi.
• Plik klucza prywatnego został usunięty, zniszczony lub utracony.
• Wystąpił błąd podczas generowania pary kluczy.
Naruszenie bezpieczeństwa to dobry moment, aby zaktualizować swoje praktyki bezpieczeństwa i zgłosić naruszenie bezpieczeństwa klucza. Ponownie, lepiej jest zachować ostrożność, jeśli chodzi o bezpieczeństwo certyfikatu. Jeśli Twój klucz został naruszony lub podejrzewasz, że tak było, natychmiast prześlij wniosek o unieważnienie do swojego CA.
Utrata klucza prywatnego niekoniecznie jest powodem do złożenia wniosku o unieważnienie, w zależności od tego, w jaki sposób go zgubiłeś. Jeśli na przykład przypadkowo usunąłeś plik i nie ma kopii zapasowej, nie musisz składać wniosku o unieważnienie. Zamiast tego możesz skontaktować się ze swoim urzędem certyfikacji, aby ponownie wystawił certyfikat. SSL.com może wystawić nowy certyfikat z nowej pary kluczy, którą wygenerujesz.
Jeśli jednak zgubiłeś go w sposób, który najprawdopodobniej wpadłby w czyjeś ręce, na przykład gdy dysk twardy został skradziony lub zgubiony, prawdopodobnie będziesz chciał podjąć działania w celu unieważnienia certyfikatu.
Nie każda sytuacja wymaga złożenia odwołania. Zamiast tego możesz użyć SSL.com SSL Manager Narzędzie (dostępne dla użytkowników systemu Windows) usprawniające proces ponownego klucza, który będzie wymagał wygenerowania nowego pliku CSR (wykorzystując te same informacje w pierwotnym wniosku). Możesz również ponownie wprowadzić klucz za pomocą portalu internetowego SSL.com lub przez API.
Ponownie kluczowanie certyfikatu regularne stosowanie jest ogólnie dobrą praktyką w zakresie bezpieczeństwa. Pomyśl o tym w tym samym świetle, co o aktualizacji hasła na komputerze, to kolejny sposób, aby wyprzedzić złoczyńców.
Aby zapewnić bezpieczeństwo klucza prywatnego, zawsze powinieneś wiedzieć, gdzie on się znajduje. Jeśli nie wiesz, gdzie to jest, sprawdź to FAQ.
Większość skompromitowanych kluczy wynika z błędów użytkownika lub ogólnych naruszeń bezpieczeństwa. Dbanie o higienę technologiczną poprzez regularną aktualizację haseł, ponowne wprowadzanie i wyprowadzanie certyfikatu przez personel, a także inne dobre praktyki to solidne sposoby na zapewnienie bezpieczeństwa klucza prywatnego i zapewnienie wymaganej pewności.
