Kök CA'nın süresi dolduğunda kod işareti sertifikalarına ne olur?

9

Şimdiye kadar net: Kod işareti sertifikasının kendisinin süresi dolarsa, imzalı kod bir zaman damgası ile imzalanması durumunda doğrulanır / kabul edilir. Aksi takdirde, imzalı kodun süresi de dolar.

Ancak CA'mın kendisinin süresi dolarsa (kök CA ve böylece veren CA'lar) ne olur?

  • Zaman damgası varsa kod yine de kabul edilecek mi?
  • Süresi dolmuş Root ve Veren CA sertifikaları hala mevcut olmalı mı (örn. Güvenilir root ca sertifika deposunda)? Bu benim varsayımım, CA düşürülse bile, imzalı yürüten istemcinin yine de CA'ya güvenmesi gerekir mi? Aksi takdirde güven zinciri kırılacak değil mi?
  • CRL veya AIA eksikliği herhangi bir sorun yaratacak mı?
certificate  certificate-authority  ad-certificate-services  expired 
dr_pepper285
kaynak

Yanıtlar:

12

Ancak CA'mın kendisinin süresi dolarsa (kök CA ve böylece veren CA'lar) ne olur?

Kelimenin tam anlamıyla, hiçbir şey. Daha ayrıntılı olarak biraz açıklayalım.

İmza zaman damgası yoksa, imza şu sürece geçerlidir:

  • veriler değiştirilmez
  • imza belgesi geçerli
  • zincirdeki hiçbir sertifika iptal edilmez
  • kök sertifika güvenilir

İmzalama sertifikasının süresi sona erdiğinde, iptal edildiğinde veya bir şekilde geçersiz hale geldiğinde imza geçersiz sayılır. Sade ve basit.

Dijital imzadaki zaman damgalarının amacı, imzalı içerik için genişletilmiş bir güven sağlamaktır. İmza sertifikaları kısa bir süre için geçerlidir ve temel güven ayarları uzun süreli (belki de arşivlenmiş) imzalama için uygun değildir. Normalde (zaman damgaları olmadan), imzalama sertifikası her yenilendiğinde imzayı yeniden oluşturmanız gerekir. Hiçbir yere gitmenin bir yoludur.

Dijital imzalara bir zaman damgası ekleyerek, güven koşulları aşağıdaki listeye değiştirilir:

  • veriler değiştirilmez
  • imzalama sertifikası * imzalama zamanında geçerliydi: imzalama zamanı imza sertifikasının geçerliliğinde
  • İmza oluşturulmadan * hiçbir sertifika iptal edilmedi *
  • hem imzalama hem de zaman damgası sertifikaları güvenilir kök CA'lara zincirleme yapar (zaman geçerliliklerinden bağımsız olarak, yalnızca güven deposunda olmalıdır).

Burada ne değişti: İmza, sertifikanın sona ermesinden sonra geçerliliğini korur. Yani, imzalama ve zaman damgası sertifikalarının tüm zincirinin süresi dolar (kök sertifika ile birlikte) ve güveni bozmaz. Zincirdeki sertifikalar iptal edilebilir. Tek gereksinim: herhangi bir sertifika iptal edilirse, iptal süresi (CRL'den alınır) imza oluşturulduktan sonraki bir saate ayarlanmalıdır (imzalama süresi bir zaman damgası ile tanımlanır). Önceki cümle, hiçbir sertifikanın imzalama zamanında iptal edilmediğini kanıtlamak için imzalı bir CRL olması gerektiği anlamına gelir.

Modern Windows sistemlerinin uzun zaman önce süresi dolmuş bir kök sertifika göndermesinin nedeni budur. Hala eski imzaları doğrulamak için kullanılırlar ve bunlar zaman damgalıdır.

Bir süre önce konuyu daha ayrıntılı olarak açıklayan bir blog yazısı yazdım: Dijital imzalar ve zaman damgaları

Crypt32
kaynak
Blog yayınınız bu konuda çok iyi bir makale!
ThoriumBR
Bu konuyu IT Pro (ve geliştiriciler) arasında çok kafa karıştırıcı buldum ve bir blog gönderisinde işleri halletmeye çalıştım.
Crypt32
Ancak CRL ile ilgili nokta bana tam olarak açık değil. Öyleyse hala süresi dolmuş CA'ların (son) CRL'sine sahip olmam gerekiyor mu?
dr_pepper285
Evet, CRL'ler gerekli. Son olarak gerekli değildir, ThisUpdateimzalama saatinden sonra yayınlanmalıdır ( alan). Bu CRL, her iki zincirdeki sertifikanın (imzalama ve zaman damgası) imzalama zamanında iptal edilmediğini kanıtlayabilir.
Crypt32
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.