Большинство, если не все сертификаты сервера, с которыми я работаю, истекают до того, как их выпустил, но возможно ли истечение срока действия сертификата сервера после его эмитент, и применимо ли это также к промежуточному сертификату (срок действия после корневой сертификат)?
Если да, должен ли клиент доверять удаленному серверу с просроченным промежуточным сертификатом, а сертификат сервера - нет?
Я заглянул в Истечение срока действия и продление корневого сертификата центра сертификации, но я не совсем понимаю ответ.
В соответствии с FAQ по SSL:
Срок действия (и, следовательно, уровень доверия) данного сертификата определяется соответствующей действительностью сертификата более высокого уровня, который его подписал.
Так что пока это технически Возможно создание сертификата, срок службы которого превышает срок службы издателя, это не имеет смысла, поскольку цепочка прерывается в тот момент, когда промежуточный (или корневой) сертификат становится недействительным (по какой-либо причине). Ни один клиент не должен (и никто не доверяет) такой цепочке.
Подпись сертификата зависит только от открытого ключа в сертификате эмитента, а не от истечения срока действия сертификата эмитента или других параметров. Однако проверка пути зависит от того, не истек ли срок действия всех сертификатов в цепочке доверия.
Если у клиента есть только сертификат сервера и сертификат эмитента с истекшим сроком действия, тогда проверка пути должна завершиться ошибкой. Но довольно часто сертификаты обновляются, то есть создается новый сертификат с другим сроком действия, но с тем же открытым ключом. Это верно и для сертификатов CA. Таким образом, если у клиента есть этот новый сертификат эмитента, он все равно может проверить подпись эмитента, поскольку он зависит только от открытого ключа, который остался прежним. И если срок действия обновленного сертификата ЦС также не истек, проверка пути завершается успешно, даже если во время создания ведущего сертификата использовался другой сертификат ЦС.