Angi årsak til sperring ved sperring av TLS-sertifikater
Fra og med 1.oktober 2022 krever Mozilla i sitt rotsertifikatprogram at det under gitte forutsetninger skal angis en årsak til revokering (sperring) av TLS-sertifikater. Som en rot CA med tillit hos alle nettlesere, er Buypass forpliktet til å følge opp denne type krav og på denne siden finner du informasjon om hva dette innebærer.
Bakgrunn
Revokering av et sertifikat innebærer at sertifikatet ugyldiggjøres, noe som gir en mulighet for å ta et sertifikat ut av bruk før dette utløper. Buypass støtter revokering av alle typer digitale sertifikater, inkludert TLS-sertifikater, og gir tilgang til revokeringsstatus via CRL (Certificate Revocation List) og OCSP (Online Certificate Status Protocol).
Når et sertifikat revokeres er det mulig å angi en årsak til revokeringen og “årsakskode” (reasonCode - se RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ) tilgjengeliggjøres sammen med informasjon om at sertifikatet er revokert og tidspunkt for revokeringen. En slik kode vil være tilgjengelig både for CRL og OCSP.
Mozilla krever fra 1.oktober 2022 at dersom et TLS-sertifikat er revokert av noen spesielle årsaker, skal årsaken angis med en slik kode og tilgjengeliggjøres på CRL og OCSP. Se https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/#6-revocation for mer informasjon om dette.
Årsak til revokering
I bransjestandarden som beskriver revokering er det definert ulike årsakskoder og det er kun noen av disse som vi er pålagt å bruke ved revokering av TLS-sertifikater.
Tabellen nedenfor inneholder en oversikt over de årsakene som vi er pålagt å registrere, hvilken årsakskode som skal benyttes samt informasjon om hvem som har anledning til å bruke årsakskoden for en gitt årsak. Sistnevnte benyttes for å skille mellom årsaker som Abonnenten selv kan angi og årsaker som Buypass som CA kan bruke.
Årsak til revokering | Årsakskode | Brukes av Abonnent | Brukes av Buypass |
---|---|---|---|
Den private nøkkelen anses å være kompromittert, dvs Abonnenten er ikke lenger sikker på at ingen andre aktører har kontroll på nøkkelen. | keyCompromize (#1) | JA | JA |
Abonnentens identitet har endret seg, feks dersom Abonnentens organisasjonsnummer eller navn er endret. Gjelder også annen identitetsinformasjon i sertifikatet (som adresse). | affiliationChanged (#3) | JA | JA |
Abonnenten har bestilt et erstatningssertifikat som erstatning for det som revokeres. | superseded (#4) | JA | JA |
Sertifikatet tilfredsstiller ikke lenger gjeldende krav | superseded (#4) | NEI | JA |
Abonnenten bruker ikke lenger domener i sertifikatet. | cessationOfOperation (#5) | JA | JA |
Abonnenten har misligholdt Abonnentavtalen | privilegeWithdrawn (#9) | NEI | JA |
Dersom sertifikatet blir revokert av andre årsaker enn de som er listet over, så skal det ikke oppgis noen årsakskode.
Årsaker som Abonnenten selv må angi ved revokering (og erstatning)
Dette er årsaker som Abonnenten selv må ta stilling til og oppgi når sertifikatet skal revokeres. Abonnenter vil få anledning til å oppgi årsak til revokering i alle verktøy og tjenester som Buypass tilbyr og vi oppfordrer alle Abonnenter til å ta stilling til dette ved revokering.
Det er også viktig for Abonnenten å huske på at det å bestille et erstatningsertifikatet implisitt medfører at det opprinnelige sertifikatet skal revokeres. Dersom Abonnenten selv ønsker å angi årsak ved revokering av slike sertifikater, så bør sertifikatet eksplisitt revokeres av Abonnent så raskt som mulig etter at erstatningssertifikatet er bestilt (og evt mottatt og installert).
Den private nøkkelen er kompromittert, kommet på avveie (kode #1)
Denne årsaken skal angis dersom det er mistanke om at den private nøkkelen som korresponderer med TLS_sertifikatet er kompromittert, dvs er kommet på avveie.
Dersom denne årsaken er angitt, vil Buypass avvise fremtidige bestillinger på denne samme nøkkelen. Det er derfor viktig at man ikke angir dette som årsak dersom nøkkelen faktisk ikke er kompromittert og man ønsker å benytte samme nøkkel i fremtidige sertifikatbestillinger.
Virksomheten har skiftet navn eller annen identitetsinformasjon i sertifikatet er endret (kode #3)
Denne årsaken skal angis dersom Abonnenten har skiftet navn eller annen identitetsinformasjon i sertifikatet er endret, feks adresse. Ved endringer i slik identitetsinformasjon, er det viktig at Abonnenten selv sjekker om dette påvirker innholdet i sertifikatet.
Sertifikatet er erstattet av et annet sertifikat (kode #4)
Dersom sertifikatet som skal revokeres er erstattet med et nytt sertifikat, skal denne årsaken angis ved revokering.
Se også kommentar innledningsvis vedr revokering ved bestilling av erstatningssertifikat.
Sertifikatet inneholder domenenavn som ikke lenger brukes (kode #5)
Denne årsaken skal angis dersom sertifikatet inneholder domenenavn som ikke lenger kan brukes av Abonnenten eller dersom nettstedet som benytter sertifikatet ikke lenger er operativt.
Årsaker som Buypass vil bruke
Buypass vil på selvstendig grunnlag også kunne revokere sertifikater og er på samme måte forpliktet til å angi en av årsakene nevnt over dersom noen av disse er relevante.
Les mer om dette i våre CP/CPS-er på https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk.
Den private nøkkelen er kompromittert, kommet på avveie (kode #1)
Denne årsaken angis dersom:
Buypass mottar tydelige bevis for at Abonnentens private nøkkel er blitt kompromittert – i dette tilfellet vil alle sertifikater utstedt på samme nøkkel bli revokert
Buypass er kjent med at det finnes metoder som kan benyttes til å eksponere den private nøkkelen for misbruk (kompromittering)
Det finnes bevis for at metoden som er brukt for å generere den private nøkkelen har klare svakheter eller mangler
Buypass er kjent med at det finnes metoder som gjør det enkelt å beregne den private nøkkelen basert på den offenltlige nøkkelen (feks Debian nøkler - se https://wiki.debian.org/TLSkeys)
Buypass vil avvise fremtidige bestillinger på nøkler som er merket som kompromittert hos Buypass.
Virksomheten har skiftet navn eller annen identitetsinformasjon i sertifikatet er endret (kode #3)
Denne årsaken skal angis dersom Abonnent (Sertifikatinnehaver) har skiftet navn eller annen identitetsinformasjon i sertifikatet er endret og benyttes dersom:
Buypass er kjent med at slik identitetsinformasjon i sertifikatet har endret seg og det ikke er andre årsaker til revokering
Sertifikatet tilfredsstiller ikke lenger gjeldende krav (kode #4)
Denne årsaken skal kun benyttes dersom
Buypass finner det nødvendig å revokere sertifikatet fordi det ikke lenger tilfredsstiller gjeldende krav som angitt i CP/CPS, se https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk.
Sertifikatet inneholder domenenavn som ikke lenger brukes (kode #5)
Denne årsaken skal benyttes dersom nettstedet som benytter sertifikatet er avviklet før sertifikatet utløper eller dersom Abonnenten ikke lenger eier eller kontrollerer domener i sertifikatet og benyttes dersom:
Buypass mottar bevis for at domener i sertifikatet ikke lenger er tillatt brukt.
Abonnenten har misligholdt Abonnentavtalen (kode #9)
Denne årsaken skal angis dersom
Buypass finner bevis for at sertifikatet er blitt misbrukt (feks for phishing formål)
Buypass er kjent med at Abonnenten har misligholdt noen av sine forpliktelser under Abonnentavtalen
Buypass er kjent med at wildcard-sertifikater er misbrukt (feks for phishing formål)
Buypass er kjent med at det er vesentlige materielle endringer i innholdet i sertifikatet
Buypass er kjent med at informasjon i sertifikatet er unøyaktig
Buypass er kjent med at den opprinnelige sertifikatbestillingen ikke var autorisert av Abonnenten på korrekt måte og at Abonnenten i ettertid ikke autoriserer denne.
Buypass kan også revokere sertifikater av andre årsaker enn de som er listet her (se CP/CPS), men det blir da ikke angitt noen årsakskode for disse.
For engelsk: EN
Innhold:
- 1 Bakgrunn
- 2 Årsak til revokering
- 3 Årsaker som Abonnenten selv må angi ved revokering (og erstatning)
- 3.1 Den private nøkkelen er kompromittert, kommet på avveie (kode #1)
- 3.2 Virksomheten har skiftet navn eller annen identitetsinformasjon i sertifikatet er endret (kode #3)
- 3.3 Sertifikatet er erstattet av et annet sertifikat (kode #4)
- 3.4 Sertifikatet inneholder domenenavn som ikke lenger brukes (kode #5)
- 4 Årsaker som Buypass vil bruke
- 4.1 Den private nøkkelen er kompromittert, kommet på avveie (kode #1)
- 4.2 Virksomheten har skiftet navn eller annen identitetsinformasjon i sertifikatet er endret (kode #3)
- 4.3 Sertifikatet tilfredsstiller ikke lenger gjeldende krav (kode #4)
- 4.4 Sertifikatet inneholder domenenavn som ikke lenger brukes (kode #5)
- 4.5 Abonnenten har misligholdt Abonnentavtalen (kode #9)