Изменение действительности существующих сертификатов PKI

Question

Я работаю над Qt lib на основе OpenSSL (QCA - QtCryptographicArchitecture), фактически я присоединяюсь к последнему разработчику.

Lib был написан в 2001 году, и есть некоторые модульные тесты, в которых используется множество сертификатов x509 и их комбинация (Good CA, Bad CA, Bad Chain, End cert с удаленным CA, Revoked, Revoked, Trusted CA, not trusted CA и многие другие), и на самом деле ОДИН из тестов требуется 57 сертификатов и CRL ... И, как вы все можете себе представить, все они истекли с 2011 года.

Я - главный разработчик, я не есть загадочный сценарий, который будет генерировать все эти сертификаты, есть ли способ расширить срок действия существующих сертификатов?

Очевидно, что меня не волнует, если они становятся неуправляемыми, у меня есть центры сертификации и подписанные сертификаты этими центрами сертификации, поэтому тесты будут обрабатывать эту часть.

Благодарим за помощь.

Answer 1

Нет, к сожалению, для вас вы не можете изменить дату действия сертификата. На самом деле вы ничего не можете изменить с момента подписания сертификата. Изменение одного бита приведет к отказу в проверке подписи сертификата.

Я настоятельно рекомендую вам взглянуть на NIST X.509 path validation test vectors, которые находятся в актуальном состоянии, чтобы заменить старые тесты.