Revoca certificato

Informazioni su come revocare un certificato o un'autorità di certificazione (CA) per proteggere le risorse nel caso in cui un certificato non possa più essere considerato attendibile.

È possibile revocare un certificato o un'autorità di certificazione (CA) per invalidarlo come risorsa attendibile per qualsiasi numero di motivi. La revoca consente di indicare che una versione specifica di un certificato o di una CA non è più affidabile e di contrassegnarla come non valida per l'uso prima della fine del periodo di validità. Sebbene sia possibile revocare versioni specifiche, è sempre necessario disporre di almeno una versione di un certificato o di un'autorità di certificazione a meno che non si elimini completamente la risorsa. Se si decide di eliminare una CA, si consiglia di revocare prima la CA.

Per revocare una versione del certificato o una versione CA, emettere e pubblicare un elenco di revoca del certificato (CRL). Le CRL vengono pubblicate quando una versione CA o una versione del certificato viene revocata, nonché quando viene creata una CA. Un CRL elenca i certificati X.509 che una CA ha revocato prima della data di scadenza. Quando viene creata inizialmente una CA, la CRL è un elenco vuoto che non contiene certificati revocati.

Se non si configura una CA per la revoca quando la si crea, è possibile configurare la revoca in un secondo momento. Qualsiasi versione del certificato o versione CA revocata prima di configurare la revoca, che include la pubblicazione corrispondente di un CRL, viene pubblicata nel CRL quando il CRL diventa disponibile.

In un CRL, lo stato di revoca include un motivo per la revoca e lo stato di revoca per una CA e i relativi certificati non devono corrispondere. Gli stati di revoca possono includere:

• NON SPECIFICATO. Nessuna ragione specifica. (Anche se è possibile revocare un certificato senza specificare il motivo, la pratica non è consigliata.)
• KEY_COMPROMISE. Compromissione sospetta o effettiva della chiave privata corrispondente alla chiave pubblica nel certificato. Ad esempio, il dispositivo che memorizza la chiave privata viene perso o rubato. (Questo motivo viene utilizzato per i certificati delle entità finali).
• CA_COMPROMISE. Compromissione sospetta o effettiva di una CA o della chiave privata corrispondente alla chiave pubblica nel certificato CA. Ancora una volta, ad esempio, il dispositivo che memorizza la chiave privata viene perso o rubato.
• AFFILIATION_CHANGED. Le informazioni sull'oggetto del certificato o altri dettagli del certificato sono stati modificati perché una persona ha lasciato l'organizzazione specificata nell'attributo Nome distinto del certificato.
• SOSTITUITO. È stato rilasciato un certificato sostitutivo che sostituisce il certificato revocato e il motivo non è uno degli altri motivi di revoca.
• CESSATION_OF_OPERATION. La CA sta cessando l'operazione e non pubblica più CRL per i certificati attualmente emessi.
• PRIVILEGE_WITHDRAWN. Il titolare del certificato non dispone più dei privilegi necessari per continuare a utilizzare il certificato.
• AA_COMPROMISE. Compromissione sospetta o effettiva dell'autorità di autenticazione (AA) convalidata nel certificato.

Per convalidare un certificato, i client di un certificato ottengono il file .crl ospitato nell'endpoint denominato nel certificato come punto di distribuzione CRL (CDP). Quindi, controllano se il file elenca il numero di serie del certificato. Qualsiasi certificato incluso nel CRL viene rifiutato come non valido.

È necessario disporre di un bucket Oracle Cloud Infrastructure Object Storage univoco e dedicato in cui è possibile memorizzare il CRL prima di creare una CA o prima di configurare una CA per la revoca. Se il servizio non è in grado di pubblicare un CRL nello storage degli oggetti dopo diversi tentativi, il tentativo successivo di pubblicare il CRL viene eseguito quando il certificato successivo viene revocato.

Gli LCR sono pubblicati con un periodo di validità di sette giorni e vengono aggiornati ogni tre giorni, prima della loro scadenza o ogni volta che un certificato viene revocato. Una CA può aggiornare una CRL purché lo stato del ciclo di vita della CA sia 'Attivo'.

È responsabilità dell'hosting della CDP in un endpoint che i client possono raggiungere. Il servizio non convalida gli endpoint CDP. La CDP di un certificato è inclusa nel certificato e nel certificato della CA emittente. È possibile disporre di un indirizzo HTTPS come CDP solo se è possibile garantire che non vi siano dipendenze circolari nella verifica della catena HTTPS.

L'aggiornamento dei dettagli del CRL, incluso il bucket di storage degli oggetti in cui è memorizzato o l'URL della CDP, non aggiorna automaticamente il certificato della versione CA corrente. Se si desidera emettere un nuovo certificato per riflettere una nuova CDP, è necessario creare una nuova versione CA.

La revoca di un certificato comporta l'aggiornamento dello stato del ciclo di vita della risorsa in 'Aggiornamento' finché la CRL non viene pubblicata correttamente nel bucket di storage degli oggetti, se la CA emittente è configurata per pubblicare una CRL. Se la pubblicazione del CRL non riesce per qualsiasi motivo, lo stato del ciclo di vita della risorsa che si è tentato di revocare passa da 'Aggiornamento' a 'Attivo' in modo da poter eseguire altre azioni sulla risorsa, se necessario. Una CA revocata, in particolare, rimane in stato 'Attivo' perché è ancora possibile rinnovare la CA. Viene revocata solo la versione CA. Inoltre, la revoca di una CA non influisce sullo stato di revoca di una CA subordinata o sui certificati rilasciati dalla CA. Si consiglia di revocare ogni discendente nella gerarchia se una CA emittente è compromessa.