Điều gì xảy ra với chứng chỉ ký mã khi hết CA gốc?

9

Cho đến nay rõ ràng đối với tôi: Nếu bản thân chứng chỉ ký mã hết hạn, mã đã ký sẽ được xác minh / chấp nhận trong trường hợp được ký với dấu thời gian. Nếu không, mã đã ký cũng hết hạn.

Nhưng điều gì xảy ra nếu bản thân CA của tôi hết hạn (CA gốc do đó phát hành CA)?

  • Mã sẽ vẫn được chấp nhận nếu nó được đánh dấu thời gian?
  • Phải có chứng chỉ Root và Phát hành CA hết hạn (ví dụ: trong kho chứng chỉ gốc ca đáng tin cậy)? Đây là giả định của tôi, mặc dù CA có thể bị hạ cấp, khách hàng thực thi chữ ký vẫn phải tin tưởng CA? Nếu không thì chuỗi tin cậy sẽ bị phá vỡ, phải không?
  • Việc thiếu CRL hoặc AIA có gây ra vấn đề gì không?
certificate  certificate-authority  ad-certificate-services  expired 
dr_pepper285
nguồn

Câu trả lời:

12

Nhưng điều gì xảy ra nếu bản thân CA của tôi hết hạn (CA gốc do đó phát hành CA)?

Theo nghĩa đen, không có gì. Hãy giải thích một chút về chi tiết.

Nếu chữ ký không được đánh dấu thời gian, chữ ký có giá trị miễn là:

  • dữ liệu không bị giả mạo
  • ký giấy chứng nhận là thời gian hợp lệ
  • không có chứng chỉ trong chuỗi bị thu hồi
  • chứng chỉ gốc được tin cậy

Khi giấy chứng nhận đã hết hạn, bị thu hồi hoặc trở thành không hợp lệ theo cách này hay cách khác, chữ ký được coi là không hợp lệ. Đơn giản và đơn giản.

Mục đích của dấu thời gian trong chữ ký số là để cung cấp sự tin tưởng mở rộng cho nội dung đã ký. Chứng chỉ ký có hiệu lực trong một thời gian ngắn và các cài đặt tin cậy cơ bản không phù hợp để ký dài hạn (có thể, được lưu trữ). Thông thường (không có dấu thời gian), bạn sẽ phải tạo lại chữ ký mỗi lần gia hạn chứng nhận ký. Đó là một cách để hư không.

Bằng cách thêm dấu thời gian vào chữ ký số, các điều kiện tin cậy được thay đổi thành danh sách sau:

  • dữ liệu không bị giả mạo
  • ký chứng chỉ * là * thời gian hợp lệ tại thời điểm ký: thời gian ký là trong thời hạn ký hiệu lực
  • Không có chứng chỉ bị thu hồi * trước khi * tạo chữ ký
  • cả hai, chứng chỉ ký và dấu thời gian kết nối với các CA gốc đáng tin cậy (bất kể hiệu lực thời gian của chúng là gì, chỉ cần có trong cửa hàng ủy thác).

Điều gì đã thay đổi ở đây: chữ ký vẫn còn hiệu lực sau khi hết hạn chứng nhận liên quan. Đó là, toàn bộ chuỗi ký chứng chỉ và dấu thời gian có thể hết hạn (cùng với chứng chỉ gốc) và nó sẽ không phá vỡ niềm tin. Giấy chứng nhận trong chuỗi có thể bị thu hồi. Yêu cầu duy nhất: nếu bất kỳ chứng chỉ nào bị thu hồi, thời gian thu hồi (nó được lấy từ CRL) phải được đặt thành thời gian sau khi chữ ký được tạo (thời gian ký được xác định bởi dấu thời gian). Câu trước có nghĩa là phải có CRL được ký để chứng minh rằng không có chứng chỉ nào bị thu hồi tại thời điểm ký.

Đây là lý do tại sao các hệ thống Windows hiện đại xuất xưởng chứng chỉ gốc đã hết hạn từ lâu. Chúng vẫn được sử dụng để xác nhận chữ ký cũ và được đánh dấu thời gian.

Cách đây một thời gian tôi đã viết một bài đăng trên blog giải thích chi tiết hơn về chủ đề: Chữ ký số và dấu thời gian

Tiền điện tử
nguồn
Bài viết trên blog của bạn là một bài viết rất tốt về chủ đề này!
ThoriumBR
Tôi thấy chủ đề này rất khó hiểu trên IT Pro (và các nhà phát triển) và đã cố gắng sắp xếp mọi thứ trong một bài đăng trên blog.
Tiền điện tử
Nhưng quan điểm với CRL không hoàn toàn rõ ràng đối với tôi. Vì vậy, tôi vẫn cần CRL (cuối cùng) của các CA hết hạn có sẵn?
dr_pepper285
Có, CRL là bắt buộc. Không cần thiết cuối cùng, nó phải được xuất bản ( ThisUpdatelĩnh vực) sau thời gian ký. CRL này có thể chứng minh rằng không có chứng chỉ nào trong cả hai chuỗi (ký và dấu thời gian) đã bị thu hồi tại thời điểm ký.
Tiền điện tử
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.