Zertifikate sperren

Gelegentlich ist es nötig, Zertifikate bereits vor ihrem regulären Ablaufdatum aus dem Verkehr zu ziehen. Da ein aktiv genutztes Zertifikat potenziell auf unzähligen Rechnern als Kopie vorliegt, kann man Zertifikate nicht einfach löschen. Stattdessen werden Zertifikate zurückgezogen bzw. gesperrt (englisch: revoked). Dabei werden diese Zertifikate auf zentralen Sperrlisten beziehungsweise Sperr-Servern des CA-Anbieters veröffentlicht. Client wie Outlook und Thunderbird prüfen damit regelmäßig, ob Zertifikate noch verwendet werden sollen.

Warning

Eine solche Sperre kann nicht widerrufen werden! Es gilt also, entsprechend Vorsicht walten zu lassen beim Sperren.

Der Sperr-Status eines Zertifikats hat keinen Einfluss auf seine kryptografische Nutzung. Solange man im Besitz des passenden privaten Schlüssels ist, kann man auch in der Zukunft verschlüsselte E-Mails für gesperrte Zertifikate entschlüsseln. Deswegen gilt auch hier: niemals Zertifikate löschen, für die man noch verschlüsselte E-Mails hat oder erwartet.

Zertifikate sperren am KIT

Es gibt leider derzeit keinen Self-Service zum Sperren von Zertifikaten.

Der aktuelle Prozess sieht so aus, dass eine berechtigte Person eine signierte E-Mail an ca@kit.edu schickt mit Subject Bitte Zertifikat(e) sperren und im Mailtext eine Liste aller zu sperrenden Zertifikate. Bitte pro Zertifikat eine der zugehörigen E-Mail-Adressen sowie die Seriennummer angeben. Diese finden Sie entweder im Zertifikatsspeicher ihres Betriebssystems (certmgr.msc unter Windows und Schlüsselbundverwaltung in macOS) oder auf der Zertifikatssuche der KIT-CA.

Berechtigte Person sind entweder die ursprüngliche beantragende Person oder ein passender IT-Beauftragter. Bei Funktionszertifikaten außerdem alle Personen, die Zugriff auf das betroffene Postfach haben.