Отменяет сертификат с истекшим сроком действия хорошим подходом?Отзыв истекшего сертификата
Истекший сертификат считается недействительным сертификатом, но его можно аннулировать. Поскольку можно отменить его, он должен быть действительным подходом CA.
Не рассматривает ли CA, отменен ли он или нет, и как это повлияет на способ использования сертификата.
Плохая идея. Нет CA сделать это
Истекший сертификат будет отклонен вообще. Подпись с цифровой подписью будет проверена как недействительная с использованием сертификата с истекшим сроком действия. Браузеры отклоняют SSL-соединения с сайтами с истекшими сертификатами. Нет необходимости в дополнительной проверке
Фактически, вы будете вызывать несогласованность с существующими сигнатурами. Чтобы сохранить подписи в течение срока действия сертификата, они защищены меткой времени. Когда сертификат временной метки близок к истечению срока действия, может быть выпущена дополнительная временная метка. Долгосрочный формат подписи AdES также включает в себя доказательства отзыва использованных сертификатов.
Отмена истекшего сертификата означает, что эти подписи действительны, но статус сертификата в ЦС недействителен. Это не имеет смысла.
С точки зрения ЦА, это пустая трата ресурсов. Подумайте о 20-летнем СА с миллионами истекших сертификатов в аннулированном состоянии. Для обслуживания потребуется невероятно большой файл CRL (список отзыва) и службы OCSP (статус онлайн-проверки) для поддержания
Ожидается, что клиенты откажутся от истекших сертификатов. Если клиент по какой-либо причине принимает сертификат с истекшим сроком действия, а затем проверяет, был ли явно отозван сертификат, он, скорее всего, будет разочарован. Из RFC 5280 («Internet X.509 сертификат инфраструктуры открытого ключа и списка отозванных сертификатов (CRL) Profile»):
Полный CRL содержит список всех неистекшие сертификатов, в пределах его объема, , которые были отозваны для одного из причины аннулирования указаны в размере . Полный и полный CRL перечисляет все неиспользованные сертификаты , выпущенные CA, которые были отменены по любой причине.
То есть, CRL не перечисляет сертификаты с истекшим сроком действия.
InCommon/Comodo CA не позволит отозвать сертификат с истекшим сроком действия; Я подозреваю, что другие ЦС настроены аналогичным образом.
По умолчанию CRL не содержат информацию об отозванных истекших сертификатах . Сервер может включать отложенные сертификаты с истекшим сроком годности: , разрешающий этот параметр для точки выдачи. Если включены сертификаты с истекшим сроком действия , информация об отозванных сертификатах не удаляется из CRL, когда срок действия сертификата истекает. Если истекшие сертификаты не включены в , информация об отозванных сертификатах удаляется с CRL, когда срок действия сертификата истекает.