证书撤销可能会对客户和依赖方造成破坏和痛苦。我们经常会遇到这样的问题：为什么证书被吊销，谁说我们需要吊销证书，为什么没有提供更多的通知。本文提供了这些问题和其他相关问题的背景和细节。

背景

CA/浏览器（CA/B）论坛是为公共信任的TLS/SSL证书提供规则和标准的几个实体之一。论坛不是一个执行或裁决机构。它只是在证书颁发机构（CA）和浏览器之间的协作环境中设置标准。除了论坛，规则还来自Mozilla、微软、苹果和谷歌等浏览器的浏览器根程序政策，以及WebTrust等审计标准。

这些规则规定了必须如何颁发数字证书，SSL验证要求是什么，关于吊销的规则是什么，以及许多其他相关主题。公共信任证书必须根据这些不同的规则颁发，否则必须吊销。由于所有公共信任的TLS证书都在证书透明度日志中发布，因此公众很容易监控证书颁发并报告不符合规则的情况。

如果发现数字证书的颁发违反了这些规则，这可能意味着从城市名称的拼写错误到使用弱密钥等任何情况，则必须按照CA/B论坛文件中规定的时间表撤销该证书。此撤销由Mozilla程序规则第6.1节规定：

对于能够用于启用 SSL 的服务器的层次结构中的任何证书，CA 必须根据定义的时间表，在基准要求第 4.9.1 节的相应小节中列出的任何事件发生时撤销它们颁发的证书 其中。 CA 还必须根据基线要求第 4.9.1 节中定义的时间表，撤销任何违反这些要求当时最新版本颁发的证书。

撤销的时间线取决于违规的类型。例如，《CA/B论坛基线要求》第4.9.1.1节规定，必须在24小时内撤销密钥受损的证书。同一节规定了11个需要在五天内撤销的原因（例如证书被滥用的证据，或证书中的信息不准确）。最后，撤销次级（或中级）CA的单独规则允许七天的撤销时间。下图说明了这些要求。

如果CA不遵守规则会发生什么？

所有公众信任的CA都应遵守CA/B论坛标准和根程序规则，以确保生态系统中的信任和一致性。虽然这些要求看起来很严格，但考虑到TLS证书在互联网安全中的关键作用，它们是必要的。浏览器执行规则，违规行为被视为CA在改进操作方面的弱点，或者可能是系统性问题，这些问题只能通过对CA的完全不信任来纠正。因此，任何CA都绝对有义务确保合规。

客户如何了解潜在的证书撤销情况？

如果撤销，DigiCert将通过作为订单联系人提供的电子邮件地址通知客户。在可能和适用的情况下，我们将尽一切努力通过提前更新不正确的证书信息来加快更换。客户应确保其帐户中的联系人和电子邮件是最新的。CertCentral®客户可以通过控制台进行此操作。其他人可以登录他们的帐户查看他们的信息。

客户可以做些什么来减轻意外证书吊销的影响？随着今年秋季证书使用寿命的缩短，客户必须使用自动化解决方案来提高安装替换证书的响应时间。证书撤销也是如此。能够自动替换吊销的证书将最大限度地减少服务器运营商的担忧和停机时间，并为您的客户提供可靠的系统web界面。

过去，一些客户通过在应用程序中“固定”TLS证书来依赖公共信任的TLS证书。由于多种原因，包括在需要撤销时难以及时更换这些证书，因此不鼓励这样做。DigiCert强烈反对密钥固定，并且不会认为这是延迟撤销的充分理由。我们不断研究和实施技术流程，以检测被锁定的应用程序和其他被禁止的用途，这样我们就可以就锁定如何影响web PKI的灵活性（例如，中间证书的轮换）向客户提供建议。客户还应注意不要将网络可信证书与非网络PKI混合使用。浏览器信任的任何证书都必须符合所有适用的浏览器根策略的所有要求，包括24小时和5天的吊销期。

异常或扩展极为罕见，不应出现。从历史上看，浏览器不考虑业务中断（如关键服务器的停机时间），CA需要遵守吊销时间表。只有在最极端的情况下——被吊销的证书直接使人面临死亡或受伤的风险——才有例外。

web PKI所需的灵活性类型与其他安全基础设施有很大不同。客户应牢记这一点，并仅将公共信任的TLS证书用于其预期目的。缩短证书使用寿命现在已成为行业标准，并且随时可能发生吊销。为了避免潜在的中断，客户需要知道为什么会出现这些情况，以及在出现这种情况时如何尽快做出反应。

本文由 聚力诚信 根据 Digicert 博客编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。