17 февр. 2025 г.

Причины отзыва сертификата TLS

Эта статья поддержки содержит рекомендации для подписчиков сертификатов GlobalSign TLS по использованию разрешенных причин отзыва сертификата. 

В соответствии с политикой Mozilla по отзыву сертификатов TLS, сертификаты TLS могут быть отозваны ТОЛЬКО по одной из следующих причин: 

• не определено (RFC 5280 CRLReason #0) 

• keyCompromise (RFC 5280 CRLReason #1) 

• affiliationChanged (RFC 5280 CRLReason #3) 

• заменен (RFC 5280 CRLReason #4) 

• cessationOfOperation (RFC 5280 CRLReason #5) 

• privilegeWithdrawn (RFC 5280 CRLReason #9) - Примечание: Этот код причины может использоваться только при отзывах, инициированных ЦС. 

Параметры причины отзыва абонента 

• не определено (RFC 5280 CRLReason #0) 

  • Если приведенные ниже коды причин не относятся к запросу на отзыв, подписчик может не указывать причину, в этом случае GlobalSign запишет причину как "неуказанную".  Это значение по умолчанию, если причина не указана. 

• keyCompromise (RFC 5280 CRLReason #1) 

  • Подписчик сертификата должен выбрать причину отзыва "keyCompromise", если у него есть основания полагать, что закрытый ключ его сертификата был скомпрометирован. 

• affiliationChanged (RFC 5280 CRLReason #3) 

  • Подписчик сертификата должен выбрать причину отзыва "affiliationChanged", если название его организации или другая организационная информация в сертификате изменилась. 

  • Эта опция не применяется к сертификатам DV, которые не содержат информации об идентификации субъекта. 

• заменен (RFC 5280 CRLReason #4) 

  • Подписчик сертификата должен выбрать причину отзыва "заменен", когда запрашивает новый сертификат для замены существующего.  Обратите внимание, что сертификат будет немедленно отозван, поэтому эту опцию следует использовать только после того, как новый сертификат будет установлен на всех соответствующих серверах. 

• cessationOfOperation (RFC 5280 CRLReason #5) 

  • Подписчик сертификата должен выбрать причину отзыва "cessationOfOperation", если он больше не владеет всеми доменными именами в сертификате или если он больше не будет использовать сертификат из-за прекращения работы своего веб-сайта. 

Как подать заявку на отзыв 

Клиенты Центра сертификации GlobalSign (GCC) должны следовать процедуре, описанной на этой странице: https://support.globalsign.com/ssl/ssl-certificates-life-cycle/revocation-certificate. 

Наши клиенты Atlas могут осуществлять отзыв через API Atlas.  Для получения более подробной информации загрузите последнюю версию руководства GlobalSign Atlas Certificate Management API Guide. 

Любой желающий может подать запрос на отзыв сертификата, отправив письмо по адресу report-abuse@globalsign.com или открыв дело на этой странице, и наша служба поддержки вместе с вами подтвердит ваш запрос и отзовет запрошенный сертификат(ы).