Q
撤销过期证书
-1
A
回答
0
这是一个坏主意。没有CA这样做
过期的证书一般会被拒绝。使用过期证书将数字签名签名验证为无效。浏览器拒绝SSL连接到已过期证书的网站。不需要任何额外的验证
实际上,您将导致与现有签名不一致。为了保护证书到期时间的签名,它们使用时间戳进行保护。当时间戳的证书即将过期时,可以发出额外的时间戳。长期签名格式AdES也嵌入了使用证书的撤销证据。
撤销过期证书意味着这些签名是有效的,但CA证书的状态将无效。它没有任何意义。
从CA的角度来看,这是浪费资源。在一个拥有20年历史的CA中,考虑到数百万已过期的撤销证书。它需要一个令人难以置信的大型CRL文件(撤销列表)来服务和OCSP服务(在线检查状态)来维护
0
客户端应拒绝过期的证书。如果客户出于任何原因接受过期证书,然后检查证书是否被明确吊销,那么很可能会失望。从RFC 5280(“互联网X.509公钥基础设施证书和证书撤销列表(CRL)配置文件”):
一个完整的CRL列出所有未过期的证书,其范围, 已被吊销的一个内CRL范围由 覆盖的撤销原因。完整且完整的CRL列出由于任何原因已被吊销的CA颁发的所有未到期的 证书。
也就是说,CRL不会列出任何过期的证书。
InCommon/Comodo CA不会允许您撤销已过期的证书;我怀疑其他CA的设置是相似的。
0
默认情况下,CRL不包含有关已吊销的已过期 证书的信息。服务器可以通过 包含已撤销的过期证书,为发行点启用该选项。如果包含过期证书 ,则证书到期时,不会从CRL中删除有关撤销的证书的信息 。如果过期证书不包括 ,则在证书过期时,将从 中删除有关撤销证书的信息。
相关问题
- 1. 撤销iOS证书撤销
- 2. 等待或撤销iPhone过期证书?
- 3. 已撤销X509证书
- 4. 撤销对iPhone的销售证书
- 5. 已过期或已撤销对Infopath文档的证书签名
- 6. 问题X509RevocationMode.Online在撤销证书验证
- 7. 证书撤销检查的java apis
- 8. X509Chain.Build()成功撤销证书。 C#
- 9. 已撤销客户端证书
- 10. 为什么它撤销了SSL证书?
- 11. 自动撤销发行证书
- 12. 该组织的证书已被撤销
- 13. 已撤销证书 - iPhone编程
- 14. 如何处理根证书的撤销?
- 15. 忘记签名证书 - 撤销当前证书?
- 16. 我如何可以检测从撤销或已过期自签名证书评估服务器证书
- 17. Powershell撤消证书
- 18. 创建新的分发证书而不撤销旧的分发证书
- 19. 证书已过期?
- 20. 使用ICertAdmin2 :: RevokeCertificate方法在c#中撤销证书
- 21. 如何撤销Kubernetes集群中的签名证书?
- 22. 证书撤销后,我应该如何处理fastlane匹配?
- 23. IIS ApplicationPoolIdentity和对证书撤销服务器的访问
- 24. 取消从我的帐户撤销开发人员证书
- 25. 如何生成CRL(证书撤销列表)文件
- 26. iphone:撤销发布证书和推送通知
- 27. 无法撤销证书或注册ID与面料节点SDK
- 28. 证书用于签署“APP”已过期或已被吊销 - ios10
- 29. 苹果企业分销证书吊销
- 30. 推送证书吊销