Geração do par de chaves SSL comprometidas

2

Posso criar um novo par de chaves para o meu certificado SSL sem ter o certificado reeditado?

    
por DrPheltRight 07.11.2012 / 15:57

2 respostas

6

Não. Você não pode fazer isso.

Se você perdeu a chave, você terá que reeditá-la. A maioria dos provedores de certificados estão bem sobre isso, no entanto. Alguns até oferecem seguro para isso.

Eu recebi um certificado que foi recuperado cerca de 4 horas depois de eu ter sido emitido porque fiquei com o CN errado.

    
por 07.11.2012 / 17:19
2

Não.

O certificado contém a assinatura digital da autoridade de certificação. Essa assinatura certifica que o certificado SSL não foi alterado. O certificado também contém a chave pública e isso é gerado a partir do mesmo número primo da chave privada (para certificados RSA). Portanto, não é possível alterar a chave privada sem alterar a chave pública e, por sua vez, sem alterar o certificado. A alteração do certificado irá torná-lo inválido porque a assinatura não corresponderá ao restante dos dados.

Este é o procedimento para criar um novo certificado se o antigo estiver comprometido:

  1. Crie um novo par de chaves SSL
  2. Crie uma solicitação de certificado
  3. Envie a solicitação de certificado para a CA a ser assinada. Isso pode custar, dependendo da CA. O preço pode variar de 0 ao preço de um novo certificado.
  4. Instale o novo certificado
  5. Peça que o certificado antigo seja revogado.

Se a segurança é a principal prioridade, siga o passo 5 primeiro.

    
por 07.11.2012 / 17:32