Se un certificato viene revocato prima della sua scadenza e aggiunto a un CRL, viene rimosso dal CRL dopo la scadenza del periodo di validità del certificato? RFC 5280 sembra implicare questo :
A complete CRL lists all unexpired certificates, within its scope, that have been revoked for one of the revocation reasons covered by the CRL scope. A full and complete CRL lists all unexpired certificates issued by a CA that have been revoked for any reason. (Note that since CAs and CRL issuers are identified by name, the scope of a CRL is not affected by the key used to sign the CRL or the key(s) used to sign certificates.)
(Pagina 54)
The removeFromCRL (8) reasonCode value may only appear in delta CRLs and indicates that a certificate is to be removed from a CRL because either the certificate expired or was removed from hold.
(pagina 69)
Tuttavia, se questo è il caso, come risolverebbe questa situazione in modo sicuro?
- Viene emesso un certificato
- Il certificato è stato compromesso e revocato, aggiunto al CRL
- L'attaccante firma qualcosa con il certificato revocato
- Il certificato scade
- Il certificato viene rimosso dal CRL, i client aggiornano le loro copie locali del CRL
- Un client riceve i dati e la firma dall'attaccante e lo verifica.
Da quanto ho capito, una firma che è stata creata durante il periodo di validità (vale a dire prima della scadenza) del certificato rimarrà valida anche dopo la scadenza del certificato, poiché il certificato era valido in quel momento. Quindi, in che modo il client stabilirà che il certificato è stato revocato quando è stata creata la firma, se le informazioni non fanno più parte del CRL?
Questa domanda è stata contrassegnata come potenziale duplicato di questo . Le risposte a questa domanda sembrano indicare che i certificati scaduti sono non rimossi dai CRL. Se qualcuno può chiarire la discrepanza, sarei grato.