Ssl

伺服器證書可以在其頒發者之後過期嗎?

  • January 7, 2020

我使用的大多數(如果不是全部)伺服器證書在其頒發者之前過期,但是伺服器證書是否有可能在其頒發者之後過期,這是否也適用於中間證書(在根證書之後過期)?

如果是這樣,客戶端是否應該信任具有過期中間證書的遠端,而伺服器證書沒有?

我查看了證書頒發機構根證書到期和續訂,但我不完全理解答案。

根據SSL 常見問題解答

給定證書的有效性(以及信任級別)由簽署它的更高級別證書的相應有效性確定。

因此,雖然在技術上可以製作比其發行者持續更長時間的證書,但這沒有任何意義,因為當中間(或根)證書(無論出於何種原因)失效時,鏈條就會中斷。沒有客戶應該(也沒有)信任這樣的鏈。

證書的簽名僅取決於頒發者證書中的公鑰,而不取決於頒發者證書的到期時間或其他參數。但是,路徑驗證取決於信任鏈中的所有證書都沒有過期。

如果客戶端只有伺服器證書和過期的頒發者證書,則路徑驗證應該失敗。但是證書被更新是很常見的,即一個具有不同到期但相同公鑰的新證書被創建。CA 證書也是如此。因此,如果客戶端擁有這個新的頒發者證書,它仍然可以驗證頒發者的簽名,因為它只依賴於保持不變的公鑰。如果更新的 CA 證書也沒有過期,那麼即使在創建前導證書時使用了另一個 CA 證書,路徑驗證也會成功。

引用自:https://serverfault.com/questions/997788