Håll din privata nyckel säker. Oavsett vilken typ av digitalt certifikat du har är ditt ansvar att hålla den privata nyckeln absolut säker. Om en obehörig person får tillgång till din privata nyckel kan han anta identiteten som ditt certifikat är avsett att skydda (t.ex. du, ditt företag och / eller din webbplats).
Ibland, trots dina bästa ansträngningar, kan din privata nyckel äventyras. En privat nyckel sägs vara komprometterad om dess värde har avslöjats till en obehörig person eller om en obehörig person har haft tillgång till den. Även om det kan vara mycket svårt att veta att en privat nyckel har förvärvats av dåliga aktörer, om du identifierar ett brott i din säkerhet, är det bättre att göra fel på säkerhetssidan och misstänker att din nyckel kan ha äventyrats.
Om din privata nyckel någonsin äventyras bör den betraktas som en nödsituation och din prioritering bör vara att lösa problemet omedelbart. Den här artikeln hjälper dig att känna igen tecknen på en kompromissbar nyckel och vilka åtgärder du måste vidta för att återupprätta säkerhet och försäkring.
Om din nyckel har äventyrats eller om du misstänker att den har äventyrats kan du och bör skicka en begäran om återkallelse till din CA. Om ditt certifikat utfärdades via SSL.com kan du skicka din begäran om återkallelse här.
Om du har bevis på ett säkerhetsöverträdelse, kan bevisa att certifikatbegäran inte var godkänd eller CA anser att valideringen av domänkontroll inte kan lita på, måste certifikatet återkallas inom 24 timmar.
Av de flesta andra skäl, främst användarfel, kan CA ha upp till fem dagar att återkalla.
CA / Browser Forum baslinjekrav anger 15 orsaker till att en nyckel kan behöva återkallas. Du kan läs alla 15 här, men de kan sammanfattas som:
• En säkerhetsincident inträffar (eller antas ha inträffat) på din server (eller någon annan dator där den privata nyckeln används eller lagras).
• En anställd med tillgång till din privata nyckel lämnar.
• Den privata nyckelfilen raderas, förstörs eller försvinner.
• Det gick inte att generera nyckelparet.
Ett säkerhetsöverträdelse är en bra tid att uppdatera dina säkerhetsrutiner och rapportera om din nyckel komprometterad. Återigen är det bättre att göra fel på sidan med försiktighet när det gäller din certifikatsäkerhet. Om din nyckel har äventyrats eller du misstänker att den har gjort det, skicka omedelbart en begäran om återkallelse till din CA.
Förlorar din privata nyckel är inte nödvändigtvis en anledning att skicka en begäran om återkallelse, beroende på hur du tappade den. Om du till exempel av misstag raderade filen och det inte finns någon säkerhetskopia behöver du inte lämna in en begäran om återkallelse. Istället kan du kontakta din CA för att få certifikatet omutgivet. SSL.com kan utfärda ett nytt certifikat från ett nytt nyckelpar du genererar.
Om du emellertid förlorade den på ett sätt som den mycket troligt kan falla i någon annans händer, till exempel att en hårddisk blir stulen eller felaktig, kommer du sannolikt att vidta åtgärder för att få certifikatet återkallat.
Inte alla situationer kräver att man återkallar. Istället kan du använda SSL.com SSL Manager Verktyg (tillgängligt för Windows-användare) för att effektivisera omnycklingsprocessen, vilket kommer att kräva att en ny genereras CSR (med samma information på din ursprungliga begäran). Du kan också göra nycklar med SSL.com-webbportalen eller via API.
Åternyckla ditt certifikat regelbundet är i allmänhet en god säkerhetspraxis. Tänk på det i samma ljus som att uppdatera ett lösenord på din dator, det är ett annat sätt att ligga före de dåliga killarna.
För att skydda din privata nyckel bör du alltid veta var den är. Om du inte vet var det är, kolla in denna FAQ.
De flesta komprometterade nycklar beror på användarfel eller allmänna säkerhetsbrott. Att hålla god teknisk hygien genom att uppdatera lösenord regelbundet, nyckla in ditt certifikat när din personal filtrerar in och ut, och andra goda rutiner är solida sätt att hålla din privata nyckel säker och att upprätthålla den säkerhet du letar efter.
