服务器证书可以在颁发者之后过期吗?
服务器证书可以在颁发者之后过期吗?
提问于 2020-01-06 13:19:40
大多数(如果不是全部)服务器证书在颁发者之前到期,但服务器证书是否可能在颁发者之后过期,这是否也适用于中间证书(根证书之后过期)?
如果是这样的话,客户端是否应该使用过期的中间证书信任远程服务器,而服务器证书没有呢?
我研究过核证机关根证书有效期及续期,但我不完全理解答案。
回答 2
Server Fault用户
回答已采纳
发布于 2020-01-06 13:36:53
根据SSL常见问题的说法:
给定证书的有效性(以及信任级别)取决于签署证书的高级证书的相应有效性。
因此,虽然在技术上可以制作比签发人更长的证书,但这是没有意义的,因为在中间(或根)证书失效的那一刻(无论出于何种原因),链就会断裂。任何客户都不应该(也没有)信任这样的链。
Server Fault用户
发布于 2020-01-06 14:04:57
证书的签名仅取决于颁发者证书中的公钥,而不取决于颁发者证书或其他参数的过期。路径验证依赖于信任链中没有过期的所有证书。
如果客户端只有服务器证书和过期颁发者证书,则路径验证将失败。但是很常见的情况是证书被更新,即创建一个新的证书,该证书具有不同的过期期,但是创建相同的公钥。CA证书也是如此。因此,如果客户端拥有这个新的颁发者证书,它仍然可以验证颁发者签名,因为它只依赖于保持不变的公钥。如果更新的CA证书也未过期,则即使在创建牵头证书时使用了另一个CA证书,路径验证也会成功。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/997788
复制相关文章
相似问题
腾讯云开发者
