撤销过期证书

Question

撤销过期证书是一种好方法吗？

过期的证书被认为是无效的证书，但可以撤消该证书。由于可以撤消它，它应该是CA的有效方法。

CA没有考虑它是否被撤销，它将如何影响证书的使用方式。

Answer 1

这是一个坏主意。没有CA这样做

过期的证书一般会被拒绝。使用过期证书将数字签名签名验证为无效。浏览器拒绝SSL连接到已过期证书的网站。不需要任何额外的验证

实际上，您将导致与现有签名不一致。为了保护证书到期时间的签名，它们使用时间戳进行保护。当时间戳的证书即将过期时，可以发出额外的时间戳。长期签名格式AdES也嵌入了使用证书的撤销证据。

撤销过期证书意味着这些签名是有效的，但CA证书的状态将无效。它没有任何意义。

从CA的角度来看，这是浪费资源。在一个拥有20年历史的CA中，考虑到数百万已过期的撤销证书。它需要一个令人难以置信的大型CRL文件（撤销列表）来服务和OCSP服务（在线检查状态）来维护

Answer 2

客户端应拒绝过期的证书。如果客户出于任何原因接受过期证书，然后检查证书是否被明确吊销，那么很可能会失望。从RFC 5280（“互联网X.509公钥基础设施证书和证书撤销列表（CRL）配置文件”）：

一个完整的CRL列出所有未过期的证书，其范围， 已被吊销的一个内CRL范围由 覆盖的撤销原因。完整且完整的CRL列出由于任何原因已被吊销的CA颁发的所有未到期的 证书。

也就是说，CRL不会列出任何过期的证书。

InCommon/Comodo CA不会允许您撤销已过期的证书;我怀疑其他CA的设置是相似的。

Answer 3

默认情况下，CRL不包含有关已吊销的已过期 证书的信息。服务器可以通过 包含已撤销的过期证书，为发行点启用该选项。如果包含过期证书 ，则证书到期时，不会从CRL中删除有关撤销的证书的信息 。如果过期证书不包括 ，则在证书过期时，将从 中删除有关撤销证书的信息。

源： https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.0/html/Admin_Guide/Revocation_and_CRLs.html