4006-555-883

什么?我的证书被吊销啦!

发布时间:2020-09-14 11:13:00

  叮铃铃,叮铃铃……

  “喂,你好,您的证书已被CA机构吊销……”



  What!

  近期,像这样的电话,天威诚信工作人员一天得打好几通,这究竟是怎么一回事?证书好好的怎么会被吊销呢?


  什么是证书吊销?


  证书吊销是指已经签发的证书从签发机构处注销。证书吊销后将失去加密效果,浏览器不再信任该证书。


  证书吊销后会出现什么情况?


  浏览器会提示“此网站出具的安全证书已过期”,同时在浏览器的地址栏也没有安全锁,https链接也会被划上了一条斜红线,表明网站的SSL证书已经被吊销了。


  证书吊销的原因


  最通常的原因是——你的私钥泄露啦!


  众所周知,SSL证书包含一对唯一匹配的公钥和私钥,公钥和私钥本身虽然不直接用来加密和解密数据内容,但是却会协商算法、安全交换会话密钥。证书私钥一旦被泄露,会导致加密会话的密钥存在可以被拦截、侦听的风险,如果黑客通过某种途径获取到了某个网站的私钥,那么就可以对这个网站实行中间人攻击。


  在公钥基础设施体系中,CA负责签发证书,同时,为了维护PKI的完整性,CA有合理吊销和管理证书的权限。当服务器的证书不再合法时(比如服务器提前更换证书、证书的公钥被破解、服务器端存储的证书的私钥泄露等),负责签发这张证书的CA必须要在规定时间内吊销该证书,并通过相关途径将该证书失效信息对外发布,帮助客户端进行证书合法性校验。


  而私钥不再安全的情况可能是由很多原因造成的。


  1. 您可能意外地在某些公共网站上(例如github这类平台)上传了您的私钥信息;

  2. 黑客可能进入了您的服务器并复制了私钥;

  3. 黑客可能暂时获取了您的服务器或 DNS 配置的控制权,并验证、颁发了他们控制私钥的证书。


  如何预防私钥泄露呢?


  一般来说,证书颁发机构和数字证书行业最常见的一种做法是“永远不要让你的私钥发生任何事情。”然而百密终有一疏,我们该如何预防私钥泄露呢?


  一、私钥文件由专人集中管理,从制作产生到最终的安装使用都执行严格的私钥管理办法。确保私钥在整个生命周期不会被任何第三方获取到。


  二、证书生命周期结束后,建议重新制作新的私钥和请求文件申请。避免私钥被第三方攻击者暴力破解的可能性。


  三、一旦通过任何渠道了解到证书的私钥可能遭到泄漏,证书申请人应第一时间联系天威诚信,天威诚信会通过紧急证书吊销方案第一时间对证书进行吊销处理,并需要申请人重新制作新的CSR和私钥为客户进行证书替换服务,确保将因私钥泄漏导致的损失降到最低。


  四、如果您的业务过程中需要把您的证书和私钥通过上传等方式提交给第三方平台,天威诚信在此建议您做好本地业务和第三方业务平台密钥切割分离——本地业务使用一套独立的证书和私钥文件,为第三方业务平台重新创建一套证书和私钥并交付给第三方平台使用。


  五、使用证书智能管理系统中的密钥管理功能


  本地自动创建并加密保存证书私钥,密钥存储更安全。

  支持证书格式本地互转,密钥转换防泄露。

  支持私钥的导入以及证书的多种格式的导入和导出。


  最后,天威诚信提醒您涉及私钥无小事,千万不要让你的私钥发生任何事情啦!

最新发布
1
@所有网站运营者,SSL证书过期不要慌
2
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
3
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
4
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
5
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
6
网站信息安全成国际焦点,部署适配SSL证书时不我待
7
3分钟,我要知道SSL证书的全部信息!
8
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
9
敲黑板!SSL证书常见七大问题答疑来啦!
10
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
相关推荐
3分钟,我要知道SSL证书的全部信息!
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
网站信息安全成国际焦点,部署适配SSL证书时不我待
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
@所有网站运营者,SSL证书过期不要慌
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型