【发布时间】:2012-02-10 21:06:20
【问题描述】:
如果证书颁发者颁发的证书在颁发者自己的证书过期之后发生过期,那么颁发者的证书过期后颁发的证书是否仍然有效?
为了更清楚,让我举个例子: I = 发行人 C = 颁发的证书
如果我在 2007 年创建了 C 并且到期日期为 2017 我的证书将于 2010 年到期 C的证书在2012年有效吗?
【问题讨论】:
标签: security ssl certificate
【发布时间】:2012-02-10 21:06:20
【问题描述】:
只是为了提供其他人已经说过的话的权威来源: RFC 5280 第 6.1.3 节中的状态
要为证书 i 执行的基本路径处理操作 (对于 [1..n] 中的所有 i)如下所列。
其中一项操作是验证 (2)
证书有效期包括当前时间。
当前时间的概念在这里很有趣 - 例如,如果您在 2012 年收到一份在 2010 年签署的文档,并且上面还带有 RFC3161 时间戳,那么该签名将被视为有效,因为 I 和 C在“当前时间”(2010 年)有效。但是,如果没有时间戳,您将不得不拒绝签名,因为缺少有关签名时间的加密可靠信息,您唯一的机会是将“现在”假设为“当前时间”;而在 2012 年,我不再有效。
【讨论】:
-
如果一个主题有一个有效的颁发者证书的时间戳,但在颁发者过期后被重新颁发,然后重新颁发的证书被撤销,那么该主题是否仍然有效?
客户端应检查链中的每个证书的有效性。因此,如果您有一个向签发您的身份证书的签名 CA 颁发证书的根,您的客户端需要检查以确保您的身份证书有效(仍在有效期内且未撤销),然后您的签名 CA证书是有效的(仍然在有效日期期间并且没有被撤销),然后是根(仍然在有效日期期间并且没有被撤销,并且希望在您的信任存储中,因为这是您信任此链的唯一方式)。
因此,基本上,链中的每个证书都必须保持有效,您的证书才能有效。如果颁发者的证书在颁发证书之前过期,则颁发的证书应该是无效的。
【讨论】: