Nhưng điều gì xảy ra nếu bản thân CA của tôi hết hạn (CA gốc do đó phát hành CA)?
Theo nghĩa đen, không có gì. Hãy giải thích một chút về chi tiết.
Nếu chữ ký không được đánh dấu thời gian, chữ ký có giá trị miễn là:
- dữ liệu không bị giả mạo
- ký giấy chứng nhận là thời gian hợp lệ
- không có chứng chỉ trong chuỗi bị thu hồi
- chứng chỉ gốc được tin cậy
Khi giấy chứng nhận đã hết hạn, bị thu hồi hoặc trở thành không hợp lệ theo cách này hay cách khác, chữ ký được coi là không hợp lệ. Đơn giản và đơn giản.
Mục đích của dấu thời gian trong chữ ký số là để cung cấp sự tin tưởng mở rộng cho nội dung đã ký. Chứng chỉ ký có hiệu lực trong một thời gian ngắn và các cài đặt tin cậy cơ bản không phù hợp để ký dài hạn (có thể, được lưu trữ). Thông thường (không có dấu thời gian), bạn sẽ phải tạo lại chữ ký mỗi lần gia hạn chứng nhận ký. Đó là một cách để hư không.
Bằng cách thêm dấu thời gian vào chữ ký số, các điều kiện tin cậy được thay đổi thành danh sách sau:
- dữ liệu không bị giả mạo
- ký chứng chỉ * là * thời gian hợp lệ tại thời điểm ký: thời gian ký là trong thời hạn ký hiệu lực
- Không có chứng chỉ bị thu hồi * trước khi * tạo chữ ký
- cả hai, chứng chỉ ký và dấu thời gian kết nối với các CA gốc đáng tin cậy (bất kể hiệu lực thời gian của chúng là gì, chỉ cần có trong cửa hàng ủy thác).
Điều gì đã thay đổi ở đây: chữ ký vẫn còn hiệu lực sau khi hết hạn chứng nhận liên quan. Đó là, toàn bộ chuỗi ký chứng chỉ và dấu thời gian có thể hết hạn (cùng với chứng chỉ gốc) và nó sẽ không phá vỡ niềm tin. Giấy chứng nhận trong chuỗi có thể bị thu hồi. Yêu cầu duy nhất: nếu bất kỳ chứng chỉ nào bị thu hồi, thời gian thu hồi (nó được lấy từ CRL) phải được đặt thành thời gian sau khi chữ ký được tạo (thời gian ký được xác định bởi dấu thời gian). Câu trước có nghĩa là phải có CRL được ký để chứng minh rằng không có chứng chỉ nào bị thu hồi tại thời điểm ký.
Đây là lý do tại sao các hệ thống Windows hiện đại xuất xưởng chứng chỉ gốc đã hết hạn từ lâu. Chúng vẫn được sử dụng để xác nhận chữ ký cũ và được đánh dấu thời gian.
Cách đây một thời gian tôi đã viết một bài đăng trên blog giải thích chi tiết hơn về chủ đề: Chữ ký số và dấu thời gian