CRL文件中是否可能對各種原因進行權威定義? RFC5280的6.3.2(b)節列出了一些:
我已經看了看又找不到關於這些狀態在技術上的含義的任何有名的解釋,並且我不想僅僅假設其含義就可以了短語。
[免責聲明:我是一名軟件開發人員,負責為受信任的公共CA和許多公司內部PKI之一提供支持的軟件]
tl; dr :據我所知,在任何情況下都沒有正式的指導原則來決定撤銷原因,這取決於每個CA的管理員或運營商的判斷力。
通常,證書撤銷這些操作由必須從GUI的下拉菜單中選擇這些撤銷原因之一的人員完成。這意味著決定某個特定情況屬於哪個存儲桶可能會因一個組織/ CA的不同而異,或者完全取決於要撤銷ID徽章,電子郵件訪問權,Web服務器,
我發現 Microsoft的一篇非常古老的文章給出了每個原因的一些文字說明-在頁面上搜索“吊銷原因”。 (Microsoft作為Active Directory套件的一部分構建了CA軟件,因此我認為這是針對Windows Domain Admins的隨附文檔)。有關完整列表,請參閱底部的附錄A。
CA /瀏覽器論壇(CAB論壇)規定了受公共信任的CA和瀏覽器的政策需要遵守證書。這是 CA / Browser論壇頒發和管理受公共信任的證書的基準要求,v.1.2.5,2015年4月”。如果轉到 13.1.5吊銷訂戶證書的原因(請參閱下面的附錄B)部分,則列出了要求CA吊銷證書的情況,但沒有提及
tl; dr:據我所知,在這種情況下,尚無正式的準則來規定撤銷原因的使用,這取決於每個CA的管理員或運營商。
附錄A:有關何時使用每個吊銷原因的Microsoft的一些指南:
- KeyCompromise。與證書相關聯的私鑰已被洩露的令牌或磁盤位置,並由未授權的個人擁有。這可能包括筆記本電腦被盜或智能卡丟失的情況。
CACompromise。存儲CA的私鑰的令牌或磁盤位置已受到威脅,並由未經授權的個人擁有。吊銷CA的私鑰後,這將導致CA頒發的所有使用與吊銷的證書相關聯的私鑰簽名的證書都被吊銷。
AffiliationChanged。用戶已經終止了他或她與證書的“專有名稱”屬性中指示的組織的關係。當個人終止或已從組織辭職時,通常使用此吊銷代碼。除非用戶更改安全策略要求部門CA頒發不同的證書,否則用戶不必更改部門即可撤銷證書。
已被取代。已向用戶頒發了替換證書,原因不屬於先前的原因。當智能卡出現故障,用戶忘記了令牌的密碼或用戶更改了其法定名稱時,通常會使用此撤銷原因。
CessationOfOperation。如果停用了CA,將不再使用它,則應使用此原因代碼吊銷CA的證書。如果CA不再頒發新證書,但仍為當前頒發的證書發布CRL,則不要吊銷CA的證書。
證書持有。指示CA在特定時間點不擔保證書的臨時吊銷。一旦使用CertificateHold原因碼吊銷了證書,則可以使用另一個原因碼吊銷該證書,或者取消吊銷該證書並返回使用。
注意:儘管CertificateHold允許“吊銷”證書,建議不要暫停證書,因為很難確定證書在特定時間內是否有效。
RemoveFromCRL。如果使用CertificateHold原因代碼吊銷了證書,則可以“取消吊銷”證書。撤消過程仍在CRL中列出證書,但原因碼設置為RemoveFromCRL。
注意:這特定於CertificateHold原因,僅在DeltaCRL中使用。
未指定。可以在不提供特定原因碼的情況下撤銷證書。雖然可以使用未指定原因碼來吊銷證書,但是不建議這樣做,因為它不提供有關吊銷證書原因的審核記錄。
附錄B: 13.1.5吊銷訂戶證書的原因,來自 CA / Browser論壇頒發和管理公共信任證書的基線要求,v.1.2 .5,2015年4月:
CA /瀏覽器論壇對公開信任證書的發行和管理的基線要求,v.1.2.5,2015年4月 CA /瀏覽器論壇頒發和管理公共信任證書的基線要求,v.1.2.5,2015年4月:
訂閱者書面要求CA撤銷證書;
訂閱服務器通知CA原始證書請求未被授權,並且不追溯授予授權;
CA獲得的證據表明,與證書中的公鑰相對應的訂戶的私鑰遭受了密鑰洩露(另請參閱第10.2.4節)或不再符合附錄A的要求;
CA獲得證明證書被濫用的證據;
使CA意識到訂戶違反了其在訂戶或使用條款協議下的一項或多項重要義務;
使CA意識到有任何情況表明不再合法地允許在證書中使用完全限定的域名或IP地址(例如,法院或仲裁員擁有撤銷了域名註冊人的域名使用權,域名註冊人與申請人之間的相關許可或服務協議已終止,或者域名註冊人未能續訂域名);
使CA知道已使用通配符證書來認證欺詐性誤導性從屬完全合格域名;
使CA知道證書中包含的信息發生重大變更;
使CA知道證書不是根據這些要求或CA的證書政策或認證實踐聲明簽發的;
CA確定證書中出現的任何信息都不准確或具有誤導性;
CA出於任何原因停止運營,並且未安排其他CA為證書提供吊銷支持;
除非CA已經做出安排繼續維護CRL / OCSP存儲庫的權限,否則CA根據這些要求頒發證書的權利將到期,被吊銷或終止;
使CA意識到用於頒發證書的從屬CA私鑰的可能危害;
CA的證書政策和/或證書實踐聲明要求撤銷;或
- ol>
證書的技術內容或格式對應用軟件供應商或信賴方構成了不可接受的風險(例如,CA /瀏覽器論壇可能會確定不贊成使用的加密/簽名算法或密鑰大小帶來了不可接受的風險,並且應在給定的時間內撤銷此類證書並由CA替換)。
在 ITU-TX.509-201210中,它們在8.5.3.1節(原因代碼擴展)中解釋為:
– 未指定可用於出於特定原因以外的原因吊銷證書。
– keyCompromise 用於吊銷最終實體證書;它表示知道或懷疑對象的私鑰或證書中驗證的對象的其他方面已受到破壞。
– cACompromise 用於撤銷證書。 CA證書;表示知道或懷疑對象的私鑰或證書中驗證的對象的其他方面已受到破壞。
– affiliationChanged 表示對象的名稱或證書中的其他信息已被修改,但沒有理由懷疑私鑰已被洩露。
– 已取代表示證書已被取代但存在
– cessationOfOperation 表示沒有必要出於頒發證書的目的使用證書,但是沒有理由懷疑
– privilegeWithdrawn 表示證書(公鑰或屬性證書)已被撤消,因為該證書中包含的特權已被撤消。
– aACompromise stro ng>表示已知或懷疑在屬性證書中驗證的AA的某些方面已受到損害。
,它們還解釋了保留和刪除;但保留只是意味著“暫時撤銷”,而“刪除”則放在delta-CRL上,說“呃,該保留已取消”。根據X.509,後續的“完整” CRL根本不會列出證書。
值得注意的是,從技術上講,此擴展完全是可選的。 RFC 3280和5280都說符合的CA“ SHOULD”提供了原因碼。 X.509幾乎沒有說何時使用它,以及使用它的含義。