¿Todos los certificados caducados (o la mayoría de ellos) emitidos por terceros certificados también están marcados como revocados?

3

En un curso en línea reciente, un instructor declaró:

  

Una vez que haya creado un certificado, eventualmente tendrá que   revocarlo, e incluso si eso es solo para renovarlo, realmente, quiero decir si usted   han creado un certificado y va a durar, digamos, un año, o tal vez   Tres años, en última instancia, ese certificado deberá ser renovado, y   antes de que puedas renovarlo, tienes que revocarlo.

¿Eso es estrictamente preciso? Siempre pensé que los certificados que expiraban de forma natural (y que no se reemplazaron a la mitad de su término) fueron rechazados por los clientes porque estaban vencidos, no porque estuvieran marcados como revocados por la AC ¿Puede alguien aclarar?

    
pregunta Mike B 25.10.2017 - 00:59
fuente

1 respuesta

4

Tenga en cuenta que lo siguiente solo es válido para el uso de certificados en el contexto de TLS. Puede diferir en otros casos de uso de certificados, como con firmas digitales en documentos, correos, programas firmados, etc.

No tiene que revocar un certificado incluso si lo renueva. Debe revocar un certificado solo si se ha comprometido de alguna manera o lo que representa, por ejemplo, si un tercero puede conocer la clave privada o si el dominio ha cambiado de propietario y, por lo tanto, todos los certificados emitidos previamente para el propietario anterior no deberían ya válido.

De lo contrario, un certificado tiene un tiempo de caducidad en el que naturalmente dejará de funcionar. Los clientes adecuados verificarán la caducidad y no aceptarán los certificados que hayan caducado. No se realiza ninguna verificación adicional de revocación para los certificados vencidos, ya que de todos modos ya no son válidos y, por lo tanto, no es necesario realizar ninguna revocación.

    
respondido por el Steffen Ullrich 25.10.2017 - 06:35
fuente

Lea otras preguntas en las etiquetas