¿El estándar X.509 reclama verificar la fecha de vencimiento del certificado del cliente en el lado del servidor?
Considere un certificado de cliente caducado en el almacén de confianza del servidor web. Si algún cliente intenta autenticarse con un certificado caducado, ¿debería el servidor (con el algoritmo del administrador de confianza X.509) rechazar dicha autenticación y certificado?
Por favor, en sus respuestas, proporcione enlaces y números de sección en la documentación oficial (RFP).
No creo que exista un estándar específico para los certificados de cliente. Existe un mecanismo general para la validación de certificados ( RFC 5280 ) y todo el sistema de CRL supone que los certificados tienen una duración limitada. porque la CRL solo se usa para certificados que aún no han caducado.
Pero tenga en cuenta que todo el proceso de validación de la cadena de confianza y el tiempo de vida solo es relevante si la validación se realiza en base a una PKI. Si el servidor simplemente confía en un certificado específico o clave pública y el cliente envía exactamente este certificado, el servidor podría ignorar cualquier validación adicional.
En el caso presentado, el cliente es el Suscriptor que debe cumplir con el Acuerdo de Suscriptor publicado por la Autoridad de Certificación, y el servidor es la Parte que Confía que debe cumplir con el Acuerdo de la Parte que Confía también publicado por la CA. Esos acuerdos deben (pero no pueden) especificar el nivel de confianza que se espera de los diversos campos del certificado.
Como muchos otros estándares, X.509 y los RFC de PKI especifican el mecanismo pero no la política, eso se deja a los humanos que usan el sistema para especificar e implementar.
Lea otras preguntas en las etiquetas authentication tls certificates x.509