¿Todos los certificados caducados (o la mayoría de ellos) emitidos por terceros certificados también están marcados como revocados?

Question

¿Todos los certificados caducados (o la mayoría de ellos) emitidos por terceros certificados también están marcados como revocados?

#1 de Steffen Ullrich (4 votos)

3

En un curso en línea reciente, un instructor declaró:

Una vez que haya creado un certificado, eventualmente tendrá que revocarlo, e incluso si eso es solo para renovarlo, realmente, quiero decir si usted han creado un certificado y va a durar, digamos, un año, o tal vez Tres años, en última instancia, ese certificado deberá ser renovado, y antes de que puedas renovarlo, tienes que revocarlo.

¿Eso es estrictamente preciso? Siempre pensé que los certificados que expiraban de forma natural (y que no se reemplazaron a la mitad de su término) fueron rechazados por los clientes porque estaban vencidos, no porque estuvieran marcados como revocados por la AC ¿Puede alguien aclarar?

tls certificates certificate-revocation

pregunta Mike B 25.10.2017 - 00:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates certificate-revocation

Integración de ZAP a SDLC. ¿Lo estoy haciendo bien? Asegurar los servidores en la red doméstica con https

score 4 · Accepted Answer

Tenga en cuenta que lo siguiente solo es válido para el uso de certificados en el contexto de TLS. Puede diferir en otros casos de uso de certificados, como con firmas digitales en documentos, correos, programas firmados, etc.

No tiene que revocar un certificado incluso si lo renueva. Debe revocar un certificado solo si se ha comprometido de alguna manera o lo que representa, por ejemplo, si un tercero puede conocer la clave privada o si el dominio ha cambiado de propietario y, por lo tanto, todos los certificados emitidos previamente para el propietario anterior no deberían ya válido.

De lo contrario, un certificado tiene un tiempo de caducidad en el que naturalmente dejará de funcionar. Los clientes adecuados verificarán la caducidad y no aceptarán los certificados que hayan caducado. No se realiza ninguna verificación adicional de revocación para los certificados vencidos, ya que de todos modos ya no son válidos y, por lo tanto, no es necesario realizar ninguna revocación.