Может ли сертификат сервера истечь после того, как его выпустил?
Большинство, если не все сертификаты сервера, с которыми я работаю, истекают до того, как его выпустил, но возможно ли, чтобы сертификат сервера истек после его выпускающего и сделал это это относится и к промежуточному сертификату (срок действия истекает после корневого сертификата)?
Если так, должен ли клиент доверять удаленному серверу с просроченным промежуточным сертификатом, а сертификат сервера - нет?
Я изучил корневой сертификат центра сертификации истечение срока и продление , но я не совсем понимаю ответ.
Согласно SSL FAQ:
законность (и таким образом уровень доверия) данного сертификата определяется соответствующей законностью высокоуровневого сертификата, который подписал его.
Поэтому, в то время как технически возможно сделать сертификат, который длится дольше, чем его выпускающий, это не имеет никакого смысла, поскольку цепочка становится поврежденной момент промежуточное звено (или корень), сертификат становится недопустимым (по любой причине). Никакой клиент не должен (и ни один не делает), доверяют такой цепочке.
Подпись сертификата зависит только от открытого ключа в сертификате выпускающего а не после истечения сертификата выпускающих или других параметров. Проверка пути, хотя зависит от всех сертификатов в доверительной цепочке не быть истекшимся.
, Если у клиента есть только сертификат сервера и сертификат выпускающего с истекшим сроком затем, проверка пути должна перестать работать. Но довольно распространено, что сертификаты возобновляются, т.е. новый сертификат с другим истечением, но тот же открытый ключ создается. Это верно для сертификатов CA также. Таким образом, если у клиента есть этот новый сертификат выпускающего, он может все еще проверить подпись выпускающих, так как он только зависит от открытого ключа, который остался таким же. И если возобновленный сертификат CA также не истекает, проверка пути успешно выполняется, даже если во время ведущего создания сертификата другой сертификат CA использовался.