จะเกิดอะไรขึ้นกับใบรับรองการเซ็นรหัสเมื่อรูท CA หมดอายุ

9

จนถึงตอนนี้ชัดเจนสำหรับฉัน: หากใบรับรองการลงชื่อรหัสหมดอายุรหัสที่เซ็นชื่อจะได้รับการตรวจสอบ / ยอมรับในกรณีที่ลงชื่อด้วยการประทับเวลา มิฉะนั้นรหัสที่เซ็นชื่อก็จะหมดอายุเช่นกัน

แต่จะเกิดอะไรขึ้นถ้า CA ของฉันหมดอายุ (รูต CA และ CA ที่ออกดังนั้น)

  • รหัสจะยังคงได้รับการยอมรับหากมีการประทับเวลา?
  • ต้องรูทใบรับรอง CA ที่หมดอายุและออกยังคงมีอยู่ (เช่นในที่เก็บใบรับรอง root ca ที่เชื่อถือได้) นี่คือข้อสันนิษฐานของฉันแม้ว่า CA อาจลดระดับลงลูกค้าที่ดำเนินการลงนามจะต้องยังคงไว้วางใจ CA หรือไม่ มิฉะนั้นสายการเชื่อถือจะแตกใช่ไหม?
  • การขาด CRL หรือ AIA จะก่อให้เกิดปัญหาหรือไม่?
certificate  certificate-authority  ad-certificate-services  expired 
dr_pepper285
แหล่งที่มา

คำตอบ:

12

แต่จะเกิดอะไรขึ้นถ้า CA ของฉันหมดอายุ (รูต CA และ CA ที่ออกดังนั้น)

แท้จริงแล้วไม่มีอะไร เรามาอธิบายรายละเอียดเพิ่มเติมกันหน่อย

หากลายเซ็นไม่ได้ประทับเวลาลายเซ็นจะใช้ได้ตราบเท่าที่:

  • ข้อมูลไม่ได้ถูกดัดแปลง
  • ใบรับรองการลงนามถูกต้องเวลา
  • ไม่มีการเพิกถอนใบรับรองในห่วงโซ่
  • ใบรับรองหลักเชื่อถือได้

เมื่อใบรับรองการลงนามหมดอายุถูกเพิกถอนหรือไม่ถูกต้องด้วยวิธีใดวิธีหนึ่งลายเซ็นจะถือว่าไม่ถูกต้อง เรียบง่าย.

วัตถุประสงค์ของการประทับเวลาในลายเซ็นดิจิทัลคือการมอบความไว้วางใจเพิ่มเติมสำหรับเนื้อหาที่เซ็นชื่อ ใบรับรองการลงนามถูกต้องสำหรับช่วงเวลาสั้น ๆ และการตั้งค่าความน่าเชื่อถือพื้นฐานไม่เหมาะสำหรับการลงชื่อในระยะยาว (อาจถูกเก็บถาวร) โดยปกติ (ไม่มีการประทับเวลา) คุณจะต้องสร้างลายเซ็นใหม่ทุกครั้งที่มีการต่ออายุใบรับรองการเซ็นชื่อ มันเป็นวิธีการที่ไม่มีที่ไหนเลย

ด้วยการเพิ่มการประทับเวลาลงในลายเซ็นดิจิทัลเงื่อนไขความน่าเชื่อถือจะเปลี่ยนเป็นรายการต่อไปนี้:

  • ข้อมูลไม่ได้ถูกดัดแปลง
  • ใบรับรองการลงนาม* คือ *เวลาที่ถูกต้องในเวลาที่ลงชื่อ: เวลาการลงชื่ออยู่ภายในความถูกต้องของใบรับรองการลงนาม
  • ไม่มีการเพิกถอนใบรับรอง* ก่อน * การสร้างลายเซ็น
  • ทั้งการลงนามและการลงเวลาใบรับรองจะเชื่อมโยงกับ CA รูตที่เชื่อถือได้ (ไม่ว่าเวลาจะถูกต้องเพียงใดก็ตาม

สิ่งที่เปลี่ยนแปลงที่นี่: ลายเซ็นยังคงใช้ได้หลังจากการหมดอายุของใบรับรองที่เกี่ยวข้อง นั่นคือสายโซ่ทั้งหมดสำหรับการลงนามและใบรับรองการประทับเวลาอาจหมดอายุ (พร้อมกับใบรับรองหลัก) และจะไม่ทำลายความน่าเชื่อถือ ใบรับรองในห่วงโซ่สามารถเพิกถอนได้ ข้อกำหนดเพียงอย่างเดียว: หากใบรับรองใด ๆ ถูกเพิกถอนเวลาเพิกถอน (ได้รับจาก CRL) ต้องถูกตั้งค่าเป็นเวลาหลังจากสร้างลายเซ็น (เวลาลงชื่อจะถูกระบุโดยการประทับเวลา) ประโยคก่อนหน้าหมายความว่าจะต้องมี CRL ที่ลงนามเพื่อพิสูจน์ว่าไม่มีการเพิกถอนใบรับรองในเวลาที่ลงชื่อ

นี่คือเหตุผลที่ระบบ Windows สมัยใหม่จัดส่งใบรับรองรูทที่หมดอายุแล้ว พวกเขายังคงใช้ในการตรวจสอบลายเซ็นเก่าและที่ประทับเวลา

ไม่นานมานี้ฉันเขียนโพสต์บล็อกที่อธิบายรายละเอียดเพิ่มเติมในเรื่อง: ลายเซ็นดิจิทัลและเวลา

crypt32
แหล่งที่มา
โพสต์บล็อกของคุณเป็นบทความที่ดีมากในเรื่อง!
ThoriumBR
ฉันพบหัวข้อนี้ทำให้เกิดความสับสนใน IT Pro (และนักพัฒนา) และพยายามเรียงลำดับสิ่งต่าง ๆ ในโพสต์บล็อก
Crypt32
แต่จุดที่มี CRL นั้นไม่ชัดเจนสำหรับฉัน ดังนั้นฉันต้องการยังมี CRL (ล่าสุด) ของ CA ที่หมดอายุแล้วหรือยัง
dr_pepper285
ใช่ต้องมี CRL ไม่จำเป็นต้องใช้ครั้งสุดท้ายจะต้องมีการเผยแพร่ ( ThisUpdateฟิลด์) หลังจากเวลาลงชื่อ CRL นี้สามารถพิสูจน์ได้ว่าไม่มีการเพิกถอนใบรับรองในทั้งสองเครือข่าย (การลงชื่อและการประทับเวลา) ในเวลาที่ลงชื่อ
Crypt32
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.