2
이 질문과 관련이 있다고 생각되는 RFC 2459 (인터넷 X.509 공개 키 인프라 인증서 및 CRL 프로필) 부분을 읽었습니다. 그러나, 나는 인증서의 유효 기간 (구체적으로 만료일)의 목적이 무엇인지 완전히 명확하지 않습니다.X.509 인증서에서 "유효 기간"의 목적은 무엇입니까?
인증서의 목적은 공개 키를 인증 할 수있는 방식으로 (X.509에서 인증 기관을 통해 또는 OpenPGP를 통해 신뢰 웹을 통해) 바인딩하는 것입니다. . 따라서 인증서가 생성 될 때부터 해당 개인 키가 손상 될 때까지 (또는 직원이 해고되는 시점까지) 유효한 것으로 보이며,이 경우 인증서 해지 목록에 보관됩니다 (나는 믿는다).
어떤 상황에서 이것이 사실입니까? 왜 신원을 공개 키에 바인딩하는 것이 갑자기 무효가 될 수 있습니까? 나는 대부분의 인증 기관이 상업적 기업이기 때문에 반복적 인 수수료를받는 것이 수익성이 있다고 생각하지만 공개 키로 간단하게 서버의 사용자 이름을 바인딩하는 인증서를 무료로 생성하는 오픈 소스 프로젝트를 만들고 있습니다. , 사용자의 암호는 CA에 대한 자신의 신원을 확인하는 데 사용됩니다 (물론 해시 된 암호를 저장합니다).
기존 해지 메커니즘이 어떻게 완전히 신뢰할 수 있는지 설명해 주시겠습니까? 사람이 사용할 때마다 CA와 키를 확인하면 CA가 CRL에 있음을 알리지 않습니까? – Hut8
예를 들어 대부분의 브라우저는 해지 서버에 도달 할 수없는 경우 해지 확인을 무시합니다. 따라서 공격자가 라우터에 액세스 할 수 있으면 해지 확인을 피하기 위해 쉽게 차단할 수 있습니다. –
@ bowenl2 : 아담은 여기에서 죽었습니다. 불행한 점은 CA는 100 % (또는 그와 비슷한) 가동 시간을 보장하는 데 필요한 인프라가 없다는 것입니다. 그래서 브라우저가 오류를 무시하는 이유입니다. 이 경우 CA에 연락 할 수 없을 때 사이트를 닫는 것보다 쇼핑을 계속할 수있게하는 것이 더 중요하다고 생각했습니다. http://blog.spiderlabs.com/2011/04/certificate-revocation-behavior-in-modern-browsers.html – NotMe