检查私有根CA是否停用

规则详情

应用场景

停用根CA，并且设计合适的私有CA层级结构，可以带来如下优势：

• 根CA是信任链的核心：根CA的私钥是整个信任链的根基，一旦泄露，攻击者可以签发任意证书，导致整个信任体系崩溃。
• 减少根CA的使用频率：停用根CA并仅用于签发子CA，可以最大限度地减少根CA私钥的使用频率，降低泄露风险。
• 隔离风险：子CA可以按部门、业务或环境（如开发、测试、生产）划分，即使某个子CA的私钥泄露，也不会影响其他子CA或根CA。如果子CA私钥泄露，可以快速吊销该子CA及其签发的所有证书，而无需影响根CA或其他子CA。
• 细粒度的权限控制：可以为不同的子CA设置不同的签发策略和权限，满足不同业务需求。

修复项指导

请禁用根CA，详见禁用私有CA。

检测逻辑

• 私有CA是根CA且未停用，视为“不合规”。
• 私有CA是根CA且已停用，视为“合规”。
• 私有CA不是根CA，视为“合规”。