2016-11-17 119 views
-1

撤銷過期證書是一種好方法嗎?撤銷過期證書

過期的證書被認爲是無效的證書,但可以撤消該證書。由於可以撤消它,它應該是CA的有效方法。

CA沒有考慮它是否被撤銷,它將如何影響證書的使用方式。

回答

0

這是一個壞主意。沒有CA這樣做

過期的證書一般會被拒絕。使用過期證書將數字簽名簽名驗證爲無效。瀏覽器拒絕SSL連接到已過期證書的網站。不需要任何額外的驗證

實際上,您將導致與現有簽名不一致。爲了保護證書到期時間的簽名,它們使用時間戳進行保護。當時間戳的證書即將過期時,可以發出額外的時間戳。長期簽名格式AdES也嵌入了使用證書的撤銷證據。

撤銷過期證書意味着這些簽名是有效的,但CA證書的狀態將無效。它沒有任何意義。

從CA的角度來看,這是浪費資源。在一個擁有20年曆史的CA中,考慮到數百萬已過期的撤銷證書。它需要一個令人難以置信的大型CRL文件(撤銷列表)來服務和OCSP服務(在線檢查狀態)來維護

0

客戶端應拒絕過期的證書。如果客戶出於任何原因接受過期證書,然後檢查證書是否被明確吊銷,那麼很可能會失望。從RFC 5280(「互聯網X.509公鑰基礎設施證書和證書撤銷列表(CRL)配置文件」):

一個完整的CRL列出所有未過期的證書,其範圍, 已被吊銷的一個內CRL範圍由 覆蓋的撤銷原因。完整且完整的CRL列出由於任何原因已被吊銷的CA頒發的所有未到期的 證書。

也就是說,CRL不會列出任何過期的證書。

InCommon/Comodo CA不會允許您撤銷已過期的證書;我懷疑其他CA的設置是相似的。

0

默認情況下,CRL不包含有關已吊銷的已過期 證書的信息。服務器可以通過 包含已撤銷的過期證書,爲發行點啓用該選項。如果包含過期證書 ,則證書到期時,不會從CRL中刪除有關撤銷的證書的信息 。如果過期證書不包括 ,則在證書過期時,將從 中刪除有關撤銷證書的信息。

源: https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.0/html/Admin_Guide/Revocation_and_CRLs.html