Mantenha sua chave privada segura. Seja qual for o tipo de certificado digital que você possui, sua responsabilidade é manter a chave privada absolutamente segura. Se uma pessoa não autorizada obtiver acesso à sua chave privada, ela pode assumir a identidade que o seu certificado pretende proteger (por exemplo, você, sua empresa e / ou seu site).
Às vezes, apesar de seus melhores esforços, sua chave privada pode ficar comprometida. Diz-se que uma chave privada está comprometida se seu valor for revelado a uma pessoa não autorizada ou se uma pessoa não autorizada tiver acesso a ela. Embora possa ser muito difícil saber que uma chave privada foi adquirida por malfeitores, se você identificar uma violação em sua segurança, é melhor errar no lado da segurança e suspeitar que sua chave pode ter sido comprometida.
Se sua chave privada for comprometida, isso deve ser considerado uma emergência, e sua prioridade deve ser resolver o problema imediatamente. Este artigo o ajudará a reconhecer os sinais de uma chave comprometida e quais etapas tomar para restabelecê-la segurança e garantia.
Se sua chave foi comprometida ou você suspeita que está comprometida, você pode e deve enviar uma solicitação de revogação à sua CA. Se o seu certificado foi emitido através de SSL.com, você pode envie sua solicitação de revogação aqui.
Se você tiver evidências de uma violação de segurança, puder provar que a solicitação do certificado não foi autorizada, ou se a CA achar que a validação do controle de domínio não é confiável, o certificado deve ser revogado em 24 horas.
Pela maioria dos outros motivos, principalmente por erro do usuário, o CA pode ter até 5 dias para revogar.
Os requisitos básicos do CA / Browser Forum especificam 15 motivos pelos quais uma chave pode precisar ser revogada. Você pode leia todos os 15 aqui, mas podem ser resumidos como:
• Ocorre um incidente de segurança (ou acredita-se que tenha ocorrido) em seu servidor (ou qualquer outro computador onde a chave privada é usada ou armazenada).
• Um membro da equipe com acesso à sua chave privada sai.
• O arquivo da chave privada é excluído, destruído ou perdido.
• Ocorreu um erro ao gerar o par de chaves.
Uma violação de segurança é um bom momento para atualizar suas práticas de segurança e relatar o comprometimento de sua chave. Novamente, é melhor errar e ser cauteloso no que diz respeito à segurança do seu certificado. Se sua chave foi comprometida ou você suspeita que está, envie uma solicitação de revogação para sua CA imediatamente.
Perdendo sua chave privada não é necessariamente um motivo para enviar um pedido de revogação, dependendo de como você o perdeu. Se, por exemplo, você acidentalmente excluiu o arquivo e não há backup, não é necessário fazer um pedido de revogação. Em vez disso, você pode entrar em contato com sua CA para que o certificado seja reemitido. SSL.com pode emitir um novo certificado de um novo par de chaves que você gerar.
Se, no entanto, você o perdeu de uma forma que muito provavelmente poderia cair nas mãos de outra pessoa, como um disco rígido sendo roubado ou extraviado, você provavelmente desejará tomar medidas para revogar o certificado.
Nem toda situação requer o envio de uma revogação. Em vez disso, você pode usar SSL.com's SSL Manager Ferramenta (disponível para usuários do Windows) para agilizar o processo de recodificação, que exigirá a geração de um novo CSR (usando as mesmas informações em sua solicitação original). Você também pode redigitar usando o portal da web SSL.com ou via API.
Re-keying do seu certificado regularmente é geralmente uma boa prática de segurança. Pense nisso da mesma forma que atualizar uma senha em seu computador, é outra maneira de ficar à frente dos bandidos.
Para manter sua chave privada segura, você deve sempre saber onde ela está. Se você não sabe onde está, confira este FAQ.
A maioria das chaves comprometidas se deve a erro do usuário ou violações gerais de segurança. Manter uma boa higiene tecnológica atualizando as senhas regularmente, reinserindo seu certificado conforme sua equipe filtra e exclui, e outras boas práticas são formas sólidas de manter sua chave privada segura e a garantia que você está procurando.
