Varmenteiden kumoaminen

Viimeksi päivitetty: | Näytä koko dokumentaatio

Kun varmenne ei ole enää turvallista käyttää, sinun pitäisi kumota se. Näin voi tapahtua muutamasta eri syystä. Saatat esimerkiksi vahingossa jakaa yksityisen avaimen julkisella verkkosivustolla. hakkerit voivat kopioida yksityisen avaimen palvelimiltasi; tai hakkerit voivat ottaa väliaikaisesti hallintaansa palvelimiasi tai DNS-kokoonpanoasi ja käyttää sitä vahvistamaan ja myöntämään varmenteen, jonka yksityinen avain heillä on.

Kun kumoat Let’s Encrypt -varmenteen, Let’s Encrypt julkaisee kumoamistiedot Online Certificate Status Protocol (OCSP)-protokollan välityksellä ja eräät verkkoselaimet tarkistavat OCSP:ta nähdäkseen, pitäisikö niiden luottaa varmenteeseen. Huomaa, että OCSP kärsii joistakin perustavanlaatuisista ongelmista, joten kaikki verkkoselaimet eivät suorita tätä tarkistusta. Silti, vaarantuneita yksityisiä avaimia vastaavien varmenteiden kumoaminen on tärkeä käytäntö ja Let’s Encryptin tilaajasopimus edellyttää sitä.

Kumottaaksesi varmenteen Let’s Encryptillä, käytä ACME-API, todennäköisimmin ACME-asiakasohjelman välityksellä, kuten Certbot. Sinun täytyy todistaa Let’s Encryptille, että sinulla on valtuudet varmenteen kumoamiseen. Voit tehdä tämän kolmella tavalla: varmenteen myöntäneeltä tililtä, käyttämällä eri valtuutettua tiliä tai käyttämällä varmenteen yksityistä avainta.

Syykoodin määrittäminen

Kun kumotaan varmenne, Let’s Encrypt -tilaajien tulee valita syykoodi seuraavasti:

Kumoamispyynnöt, joissa mainitaan jokin muu kuin yllä kuvattu syykoodi, hylätään.

Varmenteen myöntäneeltä tililtä

Jos olet alun perin myöntänyt varmenteen ja voit edelleen hallita tiliä, jota käytit sen myöntämiseen, voit kumota sen tilisi tunnistetiedoilla. Certbot yrittää tätä oletusarvoisesti. Esimerkki:

certbot revoke --cert-path /etc/letsencrypt/archive/${YOUR_DOMAIN}/cert1.pem

Toista valtuutettua tiliä käyttäen

Jos joku on myöntänyt varmenteen vaarantuttuasi isäntäsi tai DNS: si, haluat kumota varmenteen, kun saat hallinnan takaisin. Varmenteen kumoamiseksi Let’s Encryptin on varmistettava, että hallitset varmenteen toimialueen nimiä (muuten ihmiset voivat kumota toistensa varmenteet ilman lupaa)!

Tämän hallinnan vahvistamiseksi Let’s Encrypt käyttää samoja menetelmiä, joita se käyttää ohjauksen vahvistamiseen myöntämistä varten: voit laittaa arvon DNS TXT -tietueeseen tai laittaa tiedoston HTTP-palvelimeen. Yleensä ACME-asiakas tulee käsittelemään näitä sinun puolestasi. Huomaa, että useimmat ACME-asiakkaat yhdistävät validoinnin ja myöntämisen, joten ainoa tapa pyytää vahvistuksia on yrittää myöntämistä. Voit sitten kumota tuloksena olevan varmenteen, jos et halua sitä, tai yksinkertaisesti tuhota yksityisen avaimen.

Jos haluat välttää varmenteen myöntämisen ollenkaan, voit sisällyttää komentorivillesi olemattoman toimialueen nimen, mikä aiheuttaa sen, että myöntäminen epäonnistuu, mutta silti muut olemassa olevat toimialueiden nimet tarkistetaan. Esimerkki:

certbot certonly --manual --preferred-challenges=dns -d ${YOUR_DOMAIN} -d nonexistent.${YOUR_DOMAIN}

Ja noudata ohjeita. Jos haluat vahvistaa mieluummin HTTP:n kuin DNS:n välityksellä, korvaa lippu --preferred-challenges tuolla --preferred-challenges=http.

Kun olet vahvistanut kaikkien kumottavan varmenteen verkkotunnusten hallinnan, voit ladata varmenteen crt.sh:sta ja jatkaa sitten varmenteen kumottamista aivan kuin olisit myöntänyt sen:

certbot revoke --cert-path /PATH/TO/downloaded-cert.pem

Varmenteen yksityistä avainta käyttäen

Jos et alun perin myöntänyt varmennetta, mutta sinulla on kopio vastaavasta yksityisestä avaimesta, voit kumota sen allekirjoittamalla kumotuspyynnön käyttämällä tätä yksityistä avainta. Jos esimerkiksi huomaat, että yksityinen avain on vahingossa julkistettu, voit käyttää tätä menetelmää yksityistä avainta käyttäneiden varmenteiden kumoamiseen, vaikka et olisikaan henkilö, joka on alun perin myöntänyt kyseiset varmenteet.

Jotta voit käyttää tätä menetelmää, tarvitset ensin kopion yksityisestä avaimesta PEM-muodossa.

Sitten, jos sinulla ei vielä ole sitä, lataa kumotettava varmenne. Let’s Encrypt kirjoittaa lokit kaikista varmenteista Certificate Transparency -lokeihin, joten voit etsiä ja ladata varmenteita lokivalvonnasta, kuten crt.sh. Vastaavan SubjectPublicKeyInfo (SPKI)-kentän etsiminen hakee kaikki yksityistä avainta käyttävät varmenteet. SPKI-tiivisteen purkaminen yksityisestä avaimesta:

openssl pkey -outform DER -in /PATH/TO/privkey.pem -pubout | openssl sha256

Kun sinulla on yksityinen avain ja varmenne, voit kumota varmenteen kuten näin:

certbot revoke --cert-path /PATH/TO/cert.pem --key-path /PATH/TO/privkey.pem --reason keyCompromise