Redirecting you to
Click if you are not redirected within 5 seconds
Cerca
USD
Italiano
Contattaci
Prova Gratuita
Post del blog apr 29, 2024

Che cos'è la revoca del certificato e quando deve essere revocato un certificato SSL?

I certificati digitali sono fondamentali per la sicurezza identity-first. La gestione del ciclo di vita, compresa la revoca dei certificati, è fondamentale. La revoca del certificato previene le vulnerabilità e le violazioni della sicurezza.

Indice

1. Qual è lo scopo della revoca dei certificati?
2. Quando revocare un certificato SSL
3. Che cos'è un elenco di revoca dei certificati (CRL)?
4. Cos'è l'Online Certificate Status Protocol (OCSP)?
5. Riemissione di una SSL dopo la revoca

I certificati digitali sono la forza trainante delle odierne strategie di sicurezza incentrate sull'identità e, data la crescente dipendenza da questi certificati (e il loro aumento di volume), non si può negare l'importanza di una gestione strategica del ciclo di vita. Spesso, tuttavia, gli individui o le entità che richiedono i certificati si concentrano sulle prime fasi del ciclo di vita: scoperta, emissione e, infine, rinnovo. Certo, questi processi sono fondamentali, ma a volte devono essere accompagnati da un'altra fase, spesso meno compresa: la revoca del certificato.

La revoca del certificato invalida un certificato prima della sua scadenza. Si tratta di una componente essenziale del ciclo di vita della gestione dei certificati, in quanto aiuta a prevenire le vulnerabilità e le violazioni della sicurezza che potrebbero essere causate da una chiave privata compromessa, da un certificato emesso erroneamente e altro ancora.

In questo articolo, esamineremo lo scopo di questa fase del ciclo di vita, quando è necessaria, cosa comporta e altro ancora.

Qual è lo scopo della revoca dei certificati?

La revoca del certificato funge da salvaguardia nel caso in cui un certificato SSL/TLS venga compromesso. Quando vengono rilevati segni di problemi, i certificati digitali devono essere revocati per evitare che utenti non autorizzati si spaccino per entità o permettano a malintenzionati di sfruttare certificati compromessi.

A livello individuale, ciò garantisce che ogni certificato sia in grado di svolgere la sua funzione principale: stabilire connessioni sicure e, in ultima analisi, una maggiore tranquillità. Le funzionalità di revoca sono importanti anche su scala più ampia, in quanto si inseriscono in un contesto di gestione del rischio più ampio e possono contribuire a migliorare la fiducia tra server web, browser e altre parti.

Quando revocare un certificato SSL

La revoca di un certificato è molto comune e non è insolito che i titolari dei certificati adottino questa misura a un certo punto. Ecco i motivi principali per cui un certificato SSL viene revocato:

  • Compromissione della chiave. Uno dei principali problemi che scatenano la revoca: segni che le chiavi private del certificato sono state rubate o altrimenti compromesse. Queste possono essere compromesse a causa di una cattiva gestione delle chiavi, di una crittografia debole o di tutta una serie di altri problemi, ma quando ciò si verifica, la revoca immediata del certificato è essenziale.
  • Rilasciato erroneamente. I certificati digitali sono progettati per verificare l'identità del titolare del certificato. Se tale identità non viene verificata correttamente dall'Autorità di certificazione (CA), è possibile che l'entità che ottiene il certificato sia fraudolenta. In alcune situazioni, gli attori delle minacce sono riusciti ad assicurarsi i certificati attraverso il phishing e altre attività maligne. Se da un lato lavorare con una CA molto rispettata può limitare il potenziale di questi problemi, dall'altro è importante avere a disposizione opzioni di revoca in modo che, nel peggiore dei casi, i certificati emessi erroneamente possano essere prontamente revocati.
  • Cambiamenti nella proprietà del dominio. La revoca dei certificati non è sempre di natura strettamente reattiva. Può avvenire anche in risposta a cambi di proprietà del dominio, con l'obiettivo di prevenire potenziali abusi da parte del nuovo proprietario del dominio. In questa situazione, la revoca è giustificata anche dalla possibile mancanza di fiducia che potrebbe sorgere se l'autenticità del certificato viene messa in discussione.
  • Attacchi informatici. In caso di malware o di altri attacchi informatici, la revoca immediata è essenziale. Altrimenti, i certificati compromessi potrebbero essere coinvolti nell'ulteriore diffusione di malware.

Che cos'è un elenco di revoca dei certificati (CRL)?

Un elenco di revoca dei certificati (CRL) è un registro dei certificati digitali che sono stati revocati. Questo elenco è creato e firmato da un'autorità di certificazione e fornisce un modo semplice per indicare quali certificati non sono più validi e non dovrebbero essere considerati affidabili.

Le voci della CRL possono includere i numeri di serie dei certificati, oltre a dettagli sulla data di revoca e sulla CA emittente. Le CRL vengono poi inviate a vari siti di distribuzione per garantire che siano accessibili, in modo che le parti che fanno affidamento su di esse possano facilmente scaricare e memorizzare nella cache queste risorse. Queste CRL devono essere aggiornate regolarmente per garantire che i dettagli sui certificati revocati siano accurati.

Cos'è l'Online Certificate Status Protocol (OCSP)?

L'Online Certificate Status Protocol (OCSP) consente di verificare in tempo reale lo stato dei certificati, in quanto i browser web e altre entità possono inviare una richiesta a un server OCSP per ottenere informazioni sullo stato di revoca di un certificato. Questo aiuta a colmare le lacune della CRL, che viene aggiornata periodicamente e non in tempo reale.

Il processo OCSP inizia con una richiesta da parte del client a un risponditore OCSP, che può essere gestito direttamente dalla CA in questione. Una volta ricevuta la richiesta OCSP, il risponditore verifica immediatamente lo stato del certificato in questione. La risposta che ne deriva dovrebbe rivelare immediatamente se il certificato è ancora valido o è stato revocato. Il cliente può quindi agire in base a questa risposta o continuare a controllare la CRL e assicurarsi ulteriori dettagli.

Come i browser gestiscono i certificati revocati

Quando i browser web incontrano un certificato SSL/TLS, eseguono diversi controlli per confermarne la validità. Tra questi, la verifica della firma digitale del certificato, la conferma che il certificato è in corso di validità e il controllo dello stato di revoca del certificato.

Per completare questo controllo, i browser utilizzano la CRL o l'OCSP. Se queste soluzioni indicano che il certificato non è stato revocato, è possibile procedere con la connessione. Se invece indicano una revoca, viene visualizzato un avviso per tutelare gli utenti potenzialmente a rischio. In alcune situazioni, queste connessioni possono essere completamente bloccate. Se gli utenti sono in grado di procedere, potrebbero incorrere in rischi significativi per la sicurezza.

Riemissione di una SSL dopo la revoca

La revoca rappresenta solo una fase del vasto ciclo di vita del certificato, che comprende anche altre fasi: emissione, utilizzo e monitoraggio, scadenza e rinnovo. Quando la revoca si rivela necessaria, è necessario predisporre un piano per garantire che vi sia ancora una forte copertura da parte di certificati digitali validi. In genere questo viene gestito attraverso la riemissione, in cui viene presentata una richiesta alla CA e viene verificata l'identità della persona o dell'entità che richiede il nuovo certificato.

Durante questo processo, possono essere necessari ulteriori controlli di stato per garantire che i certificati compromessi siano stati correttamente revocati. Inoltre, la CA può condurre una revisione completa per determinare le circostanze della precedente revoca. Questo è importante per promuovere richieste di riemissione legittime. Come nei processi di rinnovo “tipici”, la convalida è fondamentale e comprende l'esame della proprietà del dominio e di altri dettagli. Il nuovo certificato può quindi essere emesso, installato e configurato con fiducia.

Aspetti pratici

La revoca dei certificati svolge un ruolo fondamentale nella promozione della sicurezza digitale. È solo uno dei componenti della complessa serie di soluzioni per certificati digitali offerte da Sectigo Certificate Manager (SCM).

L'obiettivo: semplificare tutti gli aspetti della gestione del ciclo di vita dei certificati per aumentare l'efficienza e la sicurezza. Offriamo anche certificati SSL/TLS altamente affidabili, fondamentali per l'autenticazione delle identità e per la creazione di connessioni sicure.

Esplorate queste opportunità o iniziate una prova gratuita di SCM per scoprire la potenza della gestione automatizzata del ciclo di vita dei certificati.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi relativi:

Come le aziende devono prepararsi a periodi di validità dei certificati SSL/TLS più brevi

Come funzionano l'Online Certificate Status Protocol e l'OCSP Stapling e molto altro ancora.

Cos'è un sistema di gestione dei certificati e quando è necessario un sistema automatizzato?