如何处理根证书的撤销？

Question

撤销证书有几个原因，最流行的是私钥泄露。

我的问题是：
如果需要吊销证书颁发机构的证书，会发生什么？

这是否意味着所有它已签署证书应该考虑撤销？
这似乎是合理的，因为CA将颁发新证书，因此新的密钥对。

另一方面，到目前为止，将撤销并重新颁发特定CA已颁发的数百个证书的过程是什么？

我对撤销CA证书的后果感到困惑。
有人可以详细说明吗？

Answer 1

否。如果CA证书被吊销，它的签发证书应该不再被视为“签名”。

Answer 2

不能撤销信任（如根CA）证书，因为它是自签署的CA，因此不存在信任机制，通过它来验证CRL。如果一个根CA受到损害，那就非常糟糕了:-)。您必须手动从商店中删除CA（或者，如果这些根证书是这些分发包的一部分，则可以通过浏览器或操作系统更新来实现）。

撤消其证书由其中一个根CA颁发的CA意味着CA颁发的所有证书都不再有效。这发生在路径处理期间，我们从我们试图验证的证书开始，然后建立一条路径直到受信任的根目录。该路径中的每个证书都应检查其各种路径约束，并且应使用CRL（或其他机制）来确定它们是否已被吊销。如果任何证书失败，则整个路径被认为是无效的。

所以简短的回答是，是的。如果CA证书被撤销，它发布的所有证书（等等）应视为无效。

Answer 3

吊销证书意味着：“虽然该证书的内容看起来很好，该证书不应该用”。这是一种“取消”证书上的加密签名的方法。

使用证书（使用证书中包含的公共密钥，即，例如作为SSL连接的一部分），该证书必须经过验证，这意味着该证书上的签名必须相对核实给公众之前包含在CA证书中的密钥。这意味着使用 CA证书，等等的签名证书也必须进行验证，依此类推，直至“根CA”，也被称为“信任锚”，这被假定为始终验证（它在任何正在进行验证的软件中都被硬编码）。

如果CA证书被吊销则不能使用（这是撤销证书的一点：使之不再使用）。特别是，证书验证不应该是能够使用CA证书了。CA颁发的证书是而不是已撤销：可能可以通过验证另一个包含相同密钥的CA证书：CA证书与任何其他证书一样，它使用公钥绑定名称;没有任何东西阻止了几个不同的证书的存在，这些证书断言了绑定，这在“桥CA”（通常用于使得一些证书可以相对于几个信任锚来验证）的情况下是正常情况。当然，如果的CA证书被吊销，因为CA私有密钥被窃取，然后采取措施的明智之举是撤销发出所有证书即CA和证书由发出该CA将不再有人可以验证。因此，总而言之，撤销CA证书不会撤消该CA颁发的所有证书，但会阻止通过该CA验证这些证书。