我已閱讀了RFC 2459(Internet X.509公鑰基礎結構證書和CRL配置文件)中我認爲與此問題相關的部分。但是,我並不十分清楚證書的有效期(特別是到期日期)的目的是什麼。X.509證書中「有效期」的目的是什麼?
我的理解是,證書的目的是將公鑰以可驗證的方式綁定到身份(在X.509中,通過證書頒發機構或在OpenPGP中,通過信任網絡) 。因此,在我看來,從創建證書到相應的私鑰遭到破壞(或者員工被解僱或者其他任何人)時,證書都是有效的,在這種情況下,證書將被放置在證書撤銷列表中(我相信)。
在什麼情況下這是不正確的?爲什麼身份與公鑰綁定突然失效?我知道大多數證書頒發機構都是商業企業,因此獲得經常性費用是有利可圖的,但是我正在開發一個開源項目,該項目簡單地生成證書(無需費用),將服務器上的用戶名與公鑰綁定,並且用戶的密碼用於向CA(其當然存儲他的散列密碼)驗證他的身份。
您能否解釋現有的撤銷機制如何不完全可靠?如果一個人在每次使用CA時都使用CA驗證密鑰,CA是否會讓它知道它在CRL上? – Hut8 2011-04-21 22:55:25
例如,當撤銷服務器無法訪問時,大多數瀏覽器會忽略吊銷檢查。因此,如果攻擊者能夠訪問您的路由器,他可以輕鬆阻止他們,以避免吊銷檢查。 – 2011-04-21 22:59:05
@ bowenl2:亞當死在這裏。不幸的是,CA沒有必要的基礎設施來保證100%(或接近它)的正常運行時間。這就是瀏覽器忽略故障的原因。在這種情況下,讓人們繼續購物比在無法聯繫CA的情況下關閉網站更重要。請參閱http://blog.spiderlabs.com/2011/04/certificate-revocation-behavior-in-modern-browsers.html – NotMe 2011-04-21 23:58:08