만료 된 인증서 해지

Question

만료 된 인증서를 폐기하는 것이 좋은 방법입니까?

만료 된 인증서는 유효하지 않은 인증서로 간주되지만 취소 할 수 있습니다. 이를 취소 할 수 있으므로 CA가 유효한 접근 방식이어야합니다.

CA는 인증서가 해지되었는지 여부와 인증서가 사용되는 방식에 어떤 영향을 미치는지 고려하지 않습니다.

Answer 1

나쁜 생각입니다. CA가 없습니다.

만료 된 인증서는 일반적으로 거부됩니다. 디지털 서명 서명은 만료 된 인증서를 사용하여 유효하지 않은 것으로 확인됩니다. 브라우저는 인증서가 만료 된 사이트에 대한 SSL 연결을 거부합니다. 추가 유효성 검사가 필요하지 않습니다.

사실 기존 서명과 일치하지 않게됩니다. 인증서 만료 시간에 따라 서명을 유지하기 위해 타임 스탬프로 보호됩니다. 타임 스탬프의 인증서가 만료 될 때 추가 타임 스탬프를 발행 할 수 있습니다. 장기 서명 형식 AdES는 또한 사용 된 인증서의 철회 사실을 포함합니다.

만료 된 인증서 해지는 해당 서명이 유효 함을 의미하지만 CA에서의 인증서 상태는 유효하지 않습니다. 그것은 의미가 없습니다.

CA의 관점에서 볼 때 자원 낭비입니다. 만료 된 수백만 개의 인증서가 폐기 된 상태로 20 년 된 CA를 생각해보십시오. 대용량 CRL 파일 (해지 목록)과 유지할 OCSP 서비스 (온라인 확인 상태)가 필요합니다.

Answer 2

클라이언트는 만료 된 인증서를 거부 할 것으로 예상됩니다. 클라이언트가 어떤 이유로 든 만료 된 인증서를 수락 한 다음 인증서가 명시 적으로 취소되었는지 확인하면 대부분 실망하게됩니다. RFC 5280 ("인터넷 X.509 공개 키 인프라 인증서 및 인증서 해지 목록 (CRL) 프로파일")에서 : 전체 CRL이 중 하나에 대한 해지 된 그 범위, 내 모든 만료되지 않은 인증서를 나열

CRL 범위 에 의해 적용되는 해지 이유. 전체 및 전체 CRL은 어떤 이유로 든 해지 된 CA에서 발급 한 만료되지 않은 인증서를 모두 나열합니다.

즉, CRL은 만료 된 인증서를 나열하지 않습니다.

InCommon/Comodo CA는 이미 만료 된 인증서를 철회하는 것을 허용하지 않습니다. 다른 CA도 유사하게 설정되어 있다고 생각합니다.

Answer 3

기본적으로 CRL에는 만료 된 폐기 인증서 에 대한 정보가 기본적으로 포함되어 있지 않습니다. 서버는 발행 지점에 대해 해당 옵션을 사용 가능하게 설정하여 폐기 된 만료 된 인증서를 까지 포함 할 수 있습니다. 만료 된 인증서 이 포함 된 경우 해지 된 인증서에 대한 정보는 인증서가 만료되면 CRL에서 제거되지 않습니다. 만료 된 인증서가 포함되어 있지 않은 경우 인증서가 만료되면 해지 된 인증서에 대한 정보가 CRL에서 제거됩니다.

소스 : https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.0/html/Admin_Guide/Revocation_and_CRLs.html