Un certificat révoqué peut-il être rétabli?
Si un certificat est révoqué, peut-il être rétabli ou est-ce la seule option pour en générer un nouveau?
La seule option pour annuler la révocation est lorsque le certificat est révoqué avec la raison certificateHold ( §5.3.1 dans RFC528 ). Dans tous les autres cas, le certificat (et la clé) doivent être recréés.
TL; DR: Ce n'est pas autorisé; ce n'est pas techniquement impossible.
En supposant que vous ne parlez pas d'un certificat qui a été détenu, ce serait contraire aux règles qu'un certificat, une fois révoqué, ne soit pas révoqué.
Si vous demandez à une autorité de certification de révoquer un certificat révoqué, elle doit refuser, et elle vous dira probablement que c'est impossible.
Cependant, si vous effectuez une recherche sur le Web, vous pouvez trouver des histoires de certificats non révocables de CA.
Ils ne devraient pas, mais cela (apparemment) arrive.
Une autorité de certification est, en fin de compte, une base de données contenant un grand nombre de certificats et de métadonnées sur le statut de chacun, y compris si elle a été révoquée ou non.
À intervalles réguliers ou irréguliers, l'autorité de certification analyse cette base de données et produit une CRL - une liste de certificats révoqués.
Si votre certificat figure sur cette liste, il est révoqué. (Ce n'est pas que les clients vérifient toujours la liste, mais c'est un problème différent.)
Si la base de données est modifiée pour supprimer l'enregistrement du certificat révoqué, la prochaine fois que la liste des certificats révoqués est produite, le certificat n'en sera pas un. En effet, le certificat n'aura pas été révoqué.
Cela ne devrait JAMAIS se produire. Mais ce n'est pas techniquement impossible.
Voir, par exemple, https://hackernoon.com/godaddy-revoked-and-then-un-revoked-a-certificate-without-request-11f86074bbf8
Vous en créez un nouveau. Il est généralement plus facile d'émettre un nouveau certificat que de révoquer un certificat révoqué.
La révocation d'un certificat affecte uniquement les métadonnées sur ce certificat, mais ne change rien du tout sur le certificat. Si un client n'effectue pas de vérification de révocation (comme l'utilisation d'une CRL ou OCSP), un certificat révoqué peut toujours apparaître comme approuvé.
La révocation fonctionne, dans le cas de la plupart des autorités de certification publiques, car l'autorité de certification fournit également des informations de statut pour le certificat, et est également d'où elle serait révoquée, donc même si ce certificat n'a pas changé, tout client X.509 vaut la peine vérifiera également le statut de ce certificat et verra qu'il a été révoqué et refusera de lui faire confiance.