什么？我的證書被吊銷啦！別慌，天威誠信為您支妙招

時間：2022-07-11 04:00:02 | 來源：建站知識

時間：2022-07-11 04:00:02 來源：建站知識

叮鈴鈴，叮鈴鈴……

“喂，你好，您的證書已被CA機構吊銷……”

What!

近期，像這樣的電話，天威誠信工作人員一天得打好幾通，這究竟是怎么一回事?證書好好的怎么會被吊銷呢?

什么是證書吊銷？

證書吊銷是指已經簽發(fā)的證書從簽發(fā)機構處注銷。證書吊銷后將失去加密效果，瀏覽器不再信任該證書。

證書吊銷后會出現什么情況?

瀏覽器會提示“此網站出具的安全證書已過期”，同時在瀏覽器的地址欄也沒有安全鎖，https鏈接也會被劃上了一條斜紅線，表明網站的SSL證書已經被吊銷了。

證書吊銷的原因

最通常的原因是——你的私鑰泄露啦！

眾所周知，SSL證書包含一對唯一匹配的公鑰和私鑰，公鑰和私鑰本身雖然不直接用來加密和解密數據內容，但是卻會協商算法、安全交換會話密鑰。證書私鑰一旦被泄露，會導致加密會話的密鑰存在可以被攔截、偵聽的風險，如果黑客通過某種途徑獲取到了某個網站的私鑰，那么就可以對這個網站實行中間人攻擊。

在公鑰基礎設施體系中， CA 負責簽發(fā)證書，同時，為了維護 PKI 的完整性，CA有合理吊銷和管理證書的權限。 當服務器的證書不再合法時(比如服務器提前更換證書、證書的公鑰被破解、服務器端存儲的證書的私鑰泄露等)，負責簽發(fā)這張證書的CA必須要在規(guī)定時間內吊銷該證書，并通過相關途徑將該證書失效信息對外發(fā)布，幫助客戶端進行證書合法性校驗。

而私鑰不再安全的情況可能是由很多原因造成的。

1. 您可能意外地在某些公共網站上(例如github這類平臺)上傳了您的私鑰信息;

2. 黑客可能進入了您的服務器并復制了私鑰;

3. 黑客可能暫時獲取了您的服務器或 DNS 配置的控制權，并驗證、頒發(fā)了他們控制私鑰的證書。

如何預防私鑰泄露呢？

一般來說，證書頒發(fā)機構和數字證書行業(yè)最常見的一種做法是“永遠不要讓你的私鑰發(fā)生任何事情。”然而百密終有一疏，我們該如何預防私鑰泄露呢?

一、私鑰文件由專人集中管理 ，從制作產生到最終的安裝使用都執(zhí)行嚴格的私鑰管理辦法。確保私鑰在整個生命周期不會被任何第三方獲取到。

二、證書生命周期結束后，建議重新制作新的私鑰和請求文件申請 。避免私鑰被第三方攻擊者暴力破解的可能性。

三、一旦通過任何渠道了解到證書的私鑰可能遭到泄漏，證書申請人應第一時間聯系天威誠信 ，天威誠信會通過緊急證書吊銷方案第一時間對證書進行吊銷處理，并需要申請人重新制作新的CSR和私鑰為客戶進行證書替換服務，確保將因私鑰泄漏導致的損失降到最低。

四、如果您的業(yè)務過程中需要把您的證書和私鑰通過上傳等方式提交給第三方平臺，天威誠信在此建議您做好本地業(yè)務和第三方業(yè)務平臺密鑰切割分離 ——本地業(yè)務使用一套獨立的證書和私鑰文件，為第三方業(yè)務平臺重新創(chuàng)建一套證書和私鑰并交付給第三方平臺使用。

五、使用證書智能管理系統中的密鑰管理功能

l 本地自動創(chuàng)建并加密保存證書私鑰，密鑰存儲更安全。

l 支持證書格式本地互轉，密鑰轉換防泄露。

l 支持私鑰的導入以及證書的多種格式的導入和導出。

最后，天威誠信提醒您涉及私鑰無小事，千萬不要讓你的私鑰發(fā)生任何事情啦!