我使用的大多数(如果不是全部)服务器证书都会在颁发者之前过期,但服务器证书有可能过期吗后其颁发者,这是否也适用于中间证书(到期后根证书?
如果是这样,那么客户端是否应该信任具有已过期中间证书的远程服务器,而服务器证书则不然?
我已经调查过证书颁发机构根证书到期和续订,但我不完全明白答案。
答案1
根据SSL 常见问题解答:
给定证书的有效性(以及信任级别)由签署该证书的更高级别证书的相应有效性决定。
因此技术上有可能制作一个比其颁发者有效期更长的证书,但这毫无意义,因为一旦中间(或根)证书失效(无论出于何种原因),链条就会断裂。没有客户端应该(也没有客户端)信任这样的链条。
答案2
证书的签名仅取决于颁发者证书中的公钥,而不取决于颁发者证书的过期时间或其他参数。但路径验证取决于信任链中的所有证书是否过期。
如果客户端只有服务器证书和过期的颁发者证书,则路径验证应该会失败。但证书续订的情况很常见,即创建一个具有不同到期时间但具有相同公钥的新证书。对于 CA 证书也是如此。因此,如果客户端拥有这个新的颁发者证书,它仍然可以验证颁发者的签名,因为它只依赖于保持不变的公钥。如果续订的 CA 证书也没有过期,即使在创建主证书时使用了另一个 CA 证书,路径验证也会成功。