撤销证书有几个原因,最常见的是破坏私钥。
我的问题是:
如果需要撤销证书颁发机构的证书会发生什么?
这是否意味着所有它已签署的证书应被视为已撤销? 这似乎是合理的,因为CA将颁发新证书,因此是新的密钥对。
另一方面,到目前为止,特定CA已经发布的撤销和重发可能数百份证书的流程是什么?
我对撤销CA证书的后果感到困惑 有人可以详细说明吗?
答案 0 :(得分:9)
您无法撤销受信任(例如,根CA)证书,因为它由CA自签名,因此没有可靠的机制来验证CRL。如果根CA被泄露,则非常糟糕:-)。您必须手动从商店中删除CA(如果这些根证书是这些发行版的一部分,则可以通过浏览器或操作系统更新实现)。
撤消其证书由其中一个根CA颁发的CA意味着CA颁发的所有证书都不再有效。这在路径处理期间发生,我们从我们尝试验证的证书开始,然后一直构建到受信任根的路径。该路径中的每个证书都应检查其各种路径约束,并应使用CRL(或其他机制)来确定它们是否已被撤销。如果任何证书失败,则整个路径被视为无效。
所以简短的回答是,是的。如果CA证书被撤销,则它所发出的所有证书(以及路径上的所有证书)都应被视为无效。
答案 1 :(得分:6)
撤销证书意味着以下内容:“虽然该证书的内容看起来很好,但不应使用证书”。这是一种“取消”证书上的加密签名的方法。
在使用证书(即使用证书中包含的公钥,例如作为SSL连接的一部分)之前,必须验证证书,这意味着必须相对于公钥验证证书上的签名包含在CA证书中。这意味着使用 CA证书,因此上的签名证书也必须经过验证,依此类推,直至“根CA”,也称为“信任锚” “,假设总是被验证(在任何软件进行验证时都是硬编码的。)
如果CA证书被撤销,则无法使用(这是撤销证书的重点:因此不再使用它)。特别是,证书验证不应再能够使用该CA证书。 CA颁发的证书未已撤销:可能,它们可以通过另一个包含相同密钥的 CA证书进行验证:CA证书与任何其他证书一样,它用公钥绑定名称;没有什么能阻止存在几个声明绑定的不同证书,这在“桥接CA”的情况下是正常情况(主要用于使某些证书可以相对于几个信任锚进行验证)。当然,如果由于CA私钥被盗而 CA证书被撤销,那么明智的做法是撤销所有颁发的证书到该CA以及由颁发的证书
因此,总而言之,撤销CA证书不会撤销该CA颁发的所有证书,但会阻止通过该CA验证这些证书。
答案 2 :(得分:0)
没有。如果CA证书被撤销,则颁发的证书不应再被视为“已签名”。