吊销过期的证书是一个好方法吗?
过期的证书被认为是无效的,但可以吊销。既然可以吊销它,那么 CA 应该认为这是一种有效的方法。
CA 是否考虑过证书是否被吊销,以及这将如何影响证书的使用方式?
吊销过期的证书是一个好方法吗?
过期的证书被认为是无效的,但可以吊销。既然可以吊销它,那么 CA 应该认为这是一种有效的方法。
CA 是否考虑过证书是否被吊销,以及这将如何影响证书的使用方式?
这是个不好的想法,没有证书授权机构能做到这一点
通常情况下,过期的证书将被拒绝。使用过期证书进行数字签名将被验证为无效。浏览器会拒绝连接到具有过期证书的站点的SSL连接。不需要任何额外的验证。
实际上,您将导致现有签名的不一致性。为了在证书过期时间内保留签名,它们受到时间戳的保护。当时间戳的证书接近过期时,可以发行一个额外的时间戳。长期签名格式AdES还嵌入了所使用证书的吊销证据。
吊销一个过期的证书意味着那些签名是有效的,但是CA处的证书状态是无效的。这毫无意义。
从CA的角度来看,这是一种资源浪费。想象一下一个有数百万张已吊销的过期证书的20年老CA。它将需要一个难以置信的大的CRL文件(吊销列表)来服务和OCSP服务(在线检查状态)来维护。