撤销过期的证书是一种好办法吗?
过期的证书被视为无效证书,但可以撤销该证书。由于可以撤销它,因此它应该是CA的有效方法。
CA是否考虑它是否被撤销,以及它将如何影响证书的使用方式。
答案 0 :(得分:0)
这是一个坏主意。没有CA这样做
过期的证书一般会被拒绝。使用过期证书将数字签名签名验证为无效。浏览器拒绝与具有过期证书的站点的SSL连接。无需任何额外验证
实际上,您将导致与现有签名不一致。要在证书过期时间内保留签名,它们将受到时间戳的保护。当时间戳的证书即将到期时,可以发出额外的时间戳。长期签名格式AdES还嵌入了已使用证书的撤销证据。
撤消过期的证书意味着这些签名有效,但CA上的证书状态无效。没有道理。
从CA的角度来看,这是浪费资源。在一个20岁的CA中思考,其中有数百万过期的证书处于撤销状态。它需要一个令人难以置信的大型CRL文件(撤销列表)来提供服务和OCSP服务(在线检查状态)来维护
答案 1 :(得分:0)
客户应拒绝过期的证书。如果客户端因任何原因接受过期的证书,然后检查证书是否已被明确撤销,则很可能会失望。来自RFC 5280(" Internet X.509公钥基础结构证书和证书吊销列表(CRL)配置文件"):
完整的CRL列出了其范围内的所有未到期证书, 已被撤销的撤销原因之一 CRL范围。完整而完整的CRL列出了所有未过期的 CA颁发的证书因任何原因被撤销。
也就是说,CRL不会列出任何过期的证书。
InCommon / Comodo CA不允许您撤销已过期的证书;我怀疑其他CA的设置类似。
答案 2 :(得分:0)
默认情况下,CRL不包含有关已撤消已过期的信息 证书。服务器可以包括已撤销的过期证书 为发布点启用该选项。如果过期的证书 包括在内,不删除有关已撤销证书的信息 证书过期时从CRL。如果过期的证书是 不包括在内,从中删除有关已撤销证书的信息 证书到期时的CRL。