吊销过期的证书是一个好方法吗?
过期的证书被认为是无效的,但可以吊销。既然可以吊销它,那么 CA 应该认为这是一种有效的方法。
CA 是否考虑过证书是否被吊销,以及这将如何影响证书的使用方式?
3个回答
3
这是个不好的想法,没有证书授权机构能做到这一点
通常情况下,过期的证书将被拒绝。使用过期证书进行数字签名将被验证为无效。浏览器会拒绝连接到具有过期证书的站点的SSL连接。不需要任何额外的验证。
实际上,您将导致现有签名的不一致性。为了在证书过期时间内保留签名,它们受到时间戳的保护。当时间戳的证书接近过期时,可以发行一个额外的时间戳。长期签名格式AdES还嵌入了所使用证书的吊销证据。
吊销一个过期的证书意味着那些签名是有效的,但是CA处的证书状态是无效的。这毫无意义。
从CA的角度来看,这是一种资源浪费。想象一下一个有数百万张已吊销的过期证书的20年老CA。它将需要一个难以置信的大的CRL文件(吊销列表)来服务和OCSP服务(在线检查状态)来维护。
- pedrofb
3
客户端应拒绝过期证书。如果客户端出于某种原因接受了过期证书,然后检查该证书是否已被明确吊销,那么它很可能会感到失望。根据RFC 5280("Internet X.509公钥基础结构证书和证书吊销列表(CRL)配置文件"):
完整的CRL列出了其范围内所有未过期的证书,这些证书已被吊销,涵盖了CRL范围内的吊销原因之一。完整且全面的CRL列出了由CA颁发的所有未过期证书,这些证书已因任何原因被吊销。
也就是说,CRL不会列出任何过期的证书。
InCommon / Comodo CA将不允许您撤销已过期的证书;我怀疑其他CA也设置类似。
完整的CRL列出了其范围内所有未过期的证书,这些证书已被吊销,涵盖了CRL范围内的吊销原因之一。完整且全面的CRL列出了由CA颁发的所有未过期证书,这些证书已因任何原因被吊销。
也就是说,CRL不会列出任何过期的证书。
InCommon / Comodo CA将不允许您撤销已过期的证书;我怀疑其他CA也设置类似。
- rlandster
1
默认情况下,证书吊销列表(CRL)不包含有关已吊销过期证书的信息。服务器可以通过启用发行点的该选项来包括已吊销过期的证书。如果包括了过期证书,则当证书过期时,有关已吊销证书的信息不会从CRL中删除。如果不包括过期证书,则当证书过期时,有关已吊销证书的信息将从CRL中删除。
- Bilkov
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接