撤銷過期證書

Question

撤銷過期證書是一種好方法嗎？

過期的證書被認爲是無效的證書，但可以撤消該證書。由於可以撤消它，它應該是CA的有效方法。

CA沒有考慮它是否被撤銷，它將如何影響證書的使用方式。

Answer 1

這是一個壞主意。沒有CA這樣做

過期的證書一般會被拒絕。使用過期證書將數字簽名簽名驗證爲無效。瀏覽器拒絕SSL連接到已過期證書的網站。不需要任何額外的驗證

實際上，您將導致與現有簽名不一致。爲了保護證書到期時間的簽名，它們使用時間戳進行保護。當時間戳的證書即將過期時，可以發出額外的時間戳。長期簽名格式AdES也嵌入了使用證書的撤銷證據。

撤銷過期證書意味着這些簽名是有效的，但CA證書的狀態將無效。它沒有任何意義。

從CA的角度來看，這是浪費資源。在一個擁有20年曆史的CA中，考慮到數百萬已過期的撤銷證書。它需要一個令人難以置信的大型CRL文件（撤銷列表）來服務和OCSP服務（在線檢查狀態）來維護

Answer 2

客戶端應拒絕過期的證書。如果客戶出於任何原因接受過期證書，然後檢查證書是否被明確吊銷，那麼很可能會失望。從RFC 5280（「互聯網X.509公鑰基礎設施證書和證書撤銷列表（CRL）配置文件」）：

一個完整的CRL列出所有未過期的證書，其範圍， 已被吊銷的一個內CRL範圍由 覆蓋的撤銷原因。完整且完整的CRL列出由於任何原因已被吊銷的CA頒發的所有未到期的 證書。

也就是說，CRL不會列出任何過期的證書。

InCommon/Comodo CA不會允許您撤銷已過期的證書;我懷疑其他CA的設置是相似的。

Answer 3

默認情況下，CRL不包含有關已吊銷的已過期 證書的信息。服務器可以通過 包含已撤銷的過期證書，爲發行點啓用該選項。如果包含過期證書 ，則證書到期時，不會從CRL中刪除有關撤銷的證書的信息 。如果過期證書不包括 ，則在證書過期時，將從 中刪除有關撤銷證書的信息。

源： https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.0/html/Admin_Guide/Revocation_and_CRLs.html