Cra*_*lus 8 security ssl cryptography certificate
撤销证书有几个原因,最受欢迎的是破解私钥.
我的问题是:
如果需要撤销证书颁发机构的证书会发生什么?
这是否意味着它已签署的所有证书都应被视为已撤销?
这似乎是合理的,因为CA将颁发新证书,因此是新的密钥对.
另一方面,到目前为止,特定CA已经发布的撤销和重发可能数百份证书的流程是什么?
我对撤销CA证书的后果感到困惑.
有人可以详细说明吗?
Dea*_*vey 10
您无法撤销受信任(例如,根CA)证书,因为它由CA自签名,因此没有可靠的机制来验证CRL.如果根CA被泄露,则非常糟糕:-).您必须从商店中手动删除CA(如果这些根证书是这些发行版的一部分,则可能通过浏览器或操作系统更新发生).
撤消其证书由其中一个根CA颁发的CA意味着CA颁发的所有证书都不再有效.这在路径处理期间发生,我们从我们尝试验证的证书开始,然后一直构建到受信任根的路径.该路径中的每个证书都应检查其各种路径约束,并应使用CRL(或其他机制)来确定它们是否已被撤销.如果任何证书失败,则整个路径被视为无效.
所以简短的回答是,是的.如果CA证书被吊销,则它所发出的所有证书(以及路径上的所有证书)都应被视为无效.
撤销证书意味着以下内容:"虽然该证书的内容看起来很好,但不应使用证书".这是一种"取消"证书上的加密签名的方法.
在使用证书(即使用证书中包含的公钥,例如作为SSL连接的一部分)之前,必须验证证书,这意味着必须相对于包含在证书中的公钥验证证书上的签名. CA证书.这意味着使用 CA证书,因此还必须验证该证书上的签名,依此类推,直到"根CA",也称为"信任锚",假定始终验证(它是硬编码的)无论什么软件正在进行验证).
如果CA证书被撤销,则无法使用(这是撤销证书的重点:因此不再使用它).特别是,证书验证不应再能够使用该CA证书.CA颁发的证书未被撤销:可能,它们可以使用包含相同密钥的另一个 CA证书进行验证:CA证书与任何其他证书一样,它使用公钥绑定名称; 没有什么可以阻止存在几个断言绑定的不同证书,这是"桥接CA"情况下的正常情况(主要用于使某些证书可以相对于几个信任锚进行验证).当然,如果该CA证书被吊销,因为CA私有密钥被窃取,那么行动的明智的做法是吊销所有已颁发的证书到该CA,并颁发证书由该CA将是任何人都不再验证.
因此,总而言之,撤销CA证书不会撤销该CA颁发的所有证书,但它会阻止通过该CA验证这些证书.