Comportamento durante la convalida di una catena di certificati scaduta

Question

Comportamento durante la convalida di una catena di certificati scaduta

#1 da (3 voti)

1

Ho la seguente situazione:

Un certificato del server ( CServ ) è firmato da un certificato autofirmato ( C0 )
Un certificato client ( CCli ) è firmato da CServ
Il trust-store del client contiene C0 , quindi l'applicazione client può fidarsi di CServ

Nota : C0 è in realtà una simulazione di un certificato CA a scopo di test.

Ora, prendiamo in considerazione una situazione in cui C0 è scaduta o non ancora valida. Dal momento che è memorizzato nel trust-store del cliente, è ancora affidabile? In altre parole, la catena [ C0 , CServ ] è ancora valida?

validation public-key-infrastructure tls certificates x.509

posta Andrey Atapin 14.01.2013 - 05:25

fonte

1 risposta

Leggi altre domande sui tag validation public-key-infrastructure tls certificates x.509

Trasferisci in modo sicuro ID utente tra diversi sottodomini AES crittografa la chiave segreta con testo in chiaro

score 3 · Accepted Answer

L'archivio di fiducia sembra contenere certificati, ma questa è un'illusione (o una tradizione). Tecnicamente, un trust anchor , ovvero la base per la fiducia nella convalida del certificato, è un nome associato a una chiave pubblica . Accade così che gli utenti trovino conveniente memorizzare il nome e la chiave pubblica come un file con lo stesso formato di un certificato; ciò richiedeva alcuni trucchetti, come la "firma personale", che non aveva senso, ma dovevano essere inclusi perché il formato di un certificato include un campo non facoltativo per una firma.

A quel punto, dipende davvero dalle convenzioni interne del sistema operativo / browser. Alcune implementazioni esamineranno le "date di validità" nell'ancoraggio di fiducia "certificato" e le useranno come, anzi, le date di validità (cioè oltre la fine della data di validità, cesseranno di fidarsi di tale fiducia ancora, anche se è ancora "lì", nello store dedicato per ancore fidate). Alcune altre implementazioni ignoreranno del tutto queste date. Spetta veramente a ciascuna implementazione fare queste scelte, dal momento che lo standard non tiene conto dell'argomento.

Quindi devi testare