吊销过期的证书是个好方法吗?
过期的证书被视为无效证书,但可以撤销它。由于可以撤销它,它应该是 CA 的有效方法。
CA 不考虑它是否被撤销以及它如何影响证书的使用方式。
吊销过期的证书是个好方法吗?
过期的证书被视为无效证书,但可以撤销它。由于可以撤销它,它应该是 CA 的有效方法。
CA 不考虑它是否被撤销以及它如何影响证书的使用方式。
客户应该拒绝过期的证书。如果客户端出于某种原因接受了过期的证书,然后检查该证书是否已被明确撤销,它很可能会感到失望。来自 RFC 5280(“Internet X.509 公钥基础结构证书和证书撤销列表 (CRL) 配置文件”):
完整的 CRL 列出了其范围内的所有未过期证书,这些证书已因 CRL 范围涵盖的撤销原因之一而被撤销。完整且完整的 CRL 列出了 CA 颁发的所有未过期的证书,这些证书已因任何原因被吊销。
也就是说,CRL 不会列出任何过期的证书。
InCommon/Comodo CA 不允许您撤销已经过期的证书;我怀疑其他 CA 的设置类似。
默认情况下,CRL 不包含有关已撤销过期证书的信息。服务器可以通过为颁发点启用该选项来包括已撤销的过期证书。如果包含过期证书,则证书过期时不会从 CRL 中删除有关已撤销证书的信息。如果不包括过期证书,则当证书过期时,有关已撤销证书的信息将从 CRL 中删除。
这是个坏主意。没有 CA 这样做
过期的证书一般会被拒绝。数字签名签名将使用过期证书验证为无效。浏览器拒绝 SSL 连接到具有过期证书的站点。不需要任何额外的验证
实际上,您将导致与现有签名不一致。为了沿证书到期时间保留签名,它们受到时间戳的保护。当时间戳的证书即将到期时,可以发布一个额外的时间戳。长期签名格式 AdES 还嵌入了已使用证书的撤销证据。
吊销过期的证书意味着这些签名是有效的,但证书在 CA 的状态将是无效的。它没有任何意义。
从 CA 的角度来看,这是一种资源浪费。想想一个拥有 20 年历史的 CA,拥有数百万个处于撤销状态的过期证书。它将需要一个令人难以置信的大型 CRL 文件(撤销列表)来提供服务和 OCSP 服务(在线检查状态)来维护