Tum*_*nos 26 ssl ssl-certificate certificate-authority
我使用的大多数服务器证书(如果不是全部)在其颁发者之前过期,但是服务器证书是否有可能在其颁发者之后过期,这是否也适用于中间证书(在根证书之后过期)?
如果是这样,客户端是否应该信任具有过期中间证书的远程服务器,而服务器证书还没有?
我已经查看了Certification authority root certificate expiry and update,但我不完全理解答案。
Lac*_*cek 42
根据SSL 常见问题解答:
给定证书的有效性(以及信任级别)由签署它的更高级别证书的相应有效性决定。
因此,虽然在技术上可以制作比其颁发者持续时间更长的证书,但这是没有意义的,因为一旦中间(或根)证书无效(无论出于何种原因),链条就会中断。没有客户应该(也没有)信任这样的链。
Ste*_*ich 15
证书的签名仅取决于颁发者证书中的公钥,而不取决于颁发者证书的到期时间或其他参数。但是,路径验证取决于信任链中的所有证书都没有过期。
如果客户端只有服务器证书和过期的颁发者证书,则路径验证应该失败。但是证书更新是很常见的,即具有不同到期时间但创建相同公钥的新证书。这也适用于 CA 证书。因此,如果客户端拥有这个新的颁发者证书,它仍然可以验证颁发者签名,因为它只依赖于保持不变的公钥。如果更新的 CA 证书也没有过期,即使在创建主证书时使用了另一个 CA 证书,路径验证也会成功。
| 归档时间: |
|
| 查看次数: |
4928 次 |
| 最近记录: |