Renovación del certificado X.509 vs.

2

¿Cuál es la diferencia desde la perspectiva de la AC entre la renovación y el cambio de clave del certificado emitido anteriormente por esta CA?

    
pregunta tysonite 09.02.2017 - 23:48
fuente

2 respuestas

5

De RFC 3647: Infraestructura de clave pública de Internet X.509 - Marco de políticas de certificación y prácticas de certificación :

  

4.4.6. Renovación de certificado

     

Este subcomponente se utiliza para describir los siguientes elementos   Relacionados con la renovación de certificados. Renovación del certificado significa el   Emisión de un nuevo certificado al suscriptor sin cambiar.   La clave pública del suscriptor u otro participante o cualquier otra   Información en el certificado:

     
  • Circunstancias bajo las cuales se realiza la renovación del certificado, tales   como     donde la vida útil del certificado ha expirado, pero la política permite la     mismo par de claves para ser reutilizadas;
  •   

Lo que se contradice a sí mismo porque inicialmente indica que durante la renovación no puede cambiar la clave pública o cualquier otra información en el certificado , pero luego continúa diciendo que se puede realizar una renovación donde ha expirado la vida útil del certificado .

y ...

  

4.4.7. Re-clave del certificado

     

Este subcomponente se utiliza para describir los siguientes elementos   relacionado con un suscriptor u otro participante que genere una nueva clave   emparejarse y solicitar la emisión de un nuevo certificado que   certifica la nueva clave pública:

     
  • Circunstancias bajo las cuales la re-clave del certificado puede o debe tomar     lugar, como después de que un certificado sea revocado por razones de clave     compromiso o después de que un certificado haya caducado y el período de uso     del par de claves también ha caducado;
  •   
    
respondido por el garethTheRed 10.02.2017 - 07:02
fuente
2

Aquí hay una cita de declaración de la Política de certificados de Symantec :

  

En términos generales, tanto "Rekey" como "Renewal" son   comúnmente descrito como "Renovación de certificado", que se centra en el hecho de que el antiguo Certificado se está reemplazando con un nuevo Certificado y no enfatiza si se genera o no un nuevo par de claves.

Luego definen Rekey y Renew como (énfasis mío)

  

Renovación de certificado es la emisión de un nuevo certificado al suscriptor sin cambiar la clave pública o cualquier otra información en el certificado. La renovación de certificados es compatible con los certificados de Clase 3 donde el par de claves se genera en un servidor web como la mayoría de la generación de claves de servidor web   Las herramientas permiten la creación de una nueva solicitud de certificado para un par de claves existente.

     

Renovación de certificado es la aplicación para la emisión de un nuevo certificado que certifica la nueva clave pública. La clave del certificado es compatible con todas las clases de certificados.

Realmente solo se trata de política. Una CA podría decidir que siempre prohibirá la emisión de un certificado con una clave ya certificada. Tener (y hacer cumplir) esa política requiere un proceso de emisión más costoso que simplemente verificar que el material de identificación del sujeto sea válido, ya que tendrían que comparar la clave pública con todos los certificados emitidos anteriormente.

Requisitos básicos del CA / Browser Forum no tiene estipulaciones de renovación o renovación de clave (secciones 4.6 y 4.7), y Requisitos de validación ampliada don Parece que no mencionan las claves.

    
respondido por el bartonjs 10.02.2017 - 02:22
fuente

Lea otras preguntas en las etiquetas