Il certificato X.509 si rinnova rispetto a rekey

2

Qual è la differenza dal punto di vista di CA tra rinnovo e rekeying del certificato precedentemente rilasciato da questa CA?

    
posta tysonite 09.02.2017 - 23:48
fonte

2 risposte

5

Da RFC 3647: Infrastruttura a chiave pubblica Internet X.509 - Quadro delle pratiche e certificazione delle certificazioni :

4.4.6. Certificate Renewal

This subcomponent is used to describe the following elements related to certificate renewal. Certificate renewal means the issuance of a new certificate to the subscriber without changing the subscriber or other participant's public key or any other information in the certificate:

  • Circumstances under which certificate renewal takes place, such as where the certificate life has expired, but the policy permits the same key pair to be reused;

Che si contraddice in quanto inizialmente afferma che durante il rinnovo non è possibile modificare la chiave pubblica o qualsiasi altra informazione nel certificato , ma poi continua dicendo che un rinnovo può aver luogo dove la vita del certificato è scaduta .

e ...

4.4.7. Certificate Re-key

This subcomponent is used to describe the following elements related to a subscriber or other participant generating a new key pair and applying for the issuance of a new certificate that certifies the new public key:

  • Circumstances under which certificate re-key can or must take place, such as after a certificate is revoked for reasons of key compromise or after a certificate has expired and the usage period of the key pair has also expired;
    
risposta data 10.02.2017 - 07:02
fonte
2

Ecco una citazione da dichiarazione sulla politica dei certificati di Symantec :

Generally speaking, both “Rekey” and “Renewal” are commonly described as “Certificate Renewal”, focusing on the fact that the old Certificate is being replaced with a new Certificate and not emphasizing whether or not a new key pair is generated.

Quindi definiscono Rekey e Rinnova come (sottolineatura mia)

Certificate renewal is the issuance of a new certificate to the subscriber without changing the public key or any other information in the certificate. Certificate renewal is supported for Class 3 certificates where the key pair is generated on a web server as most web server key generation tools permit the creation of a new Certificate Request for an existing key pair.

Certificate rekey is the application for the issuance of a new certificate that certifies the new public key. Certificate rekey is supported for all certificate Classes.

In realtà si riduce alla politica. Una CA potrebbe decidere che proibirà sempre l'emissione di un certificato utilizzando una chiave già certificata. Avere (e far rispettare) questa politica richiede una procedura di emissione più costosa della semplice verifica che il materiale di identificazione del soggetto sia valido, poiché dovrebbero confrontare la chiave pubblica con tutti i certificati precedentemente emessi.

I requisiti della linea di base del CA / Browser Forum non hanno stipulazioni per rinnovo o ri-chiave (sezioni 4.6 e 4.7) e i requisiti di convalida estesa don Sembra che menzioni i tasti.

    
risposta data 10.02.2017 - 02:22
fonte