web-dev-qa-db-fra.com

Un certificat de serveur peut-il expirer après son émetteur?

La plupart des certificats de serveur que je ne travaille pas avec expirent avant son émetteur, mais est-il possible pour un certificat de serveur expirer après son émetteur et cela s'applique-t-il à un certificat intermédiaire également (expire après certificat racine)?

Si tel est le cas, un client doit-il faire confiance à une télécommande avec un certificat intermédiaire expiré pendant que le certificat de serveur n'a pas?

J'ai examiné expiration et renouvellement de certificat d'autorité de certification , mais je ne comprends pas complètement la réponse.

26
Tumelo Galenos

Selon - la FAQ SSL :

la validité (et donc le niveau de confiance) d'un certificat donné est déterminée par la validité correspondante du certificat de niveau supérieur qui l'a signé.

Donc, bien que ce soit techniquement possible de créer un certificat qui dure plus longtemps que son émetteur, cela n'a aucun sens, car la chaîne se brise le moment d'un intermédiaire ( ou le certificat racine) devient invalide (pour une raison quelconque). Aucun client ne devrait (et aucun ne doit) faire confiance à une telle chaîne.

42
Lacek

La signature du certificat ne dépend que de la clé publique du certificat émetteur et non de l'expiration du certificat d'émetteur ou d'autres paramètres. La validation du chemin dépend bien de tous les certificats de la chaîne de confiance ne sont pas expirés.

Si le client n'a que le certificat de serveur et un certificat d'émetteur expiré, la validation du chemin devrait échouer. Mais il est assez courant que les certificats sont renouvelés, c'est-à-dire un nouveau certificat avec une expiration différente, mais la même clé publique est créée. Cela est vrai pour les certificats de l'autorité de certification. Ainsi, si le client dispose de ce nouveau certificat d'émetteur, il peut toujours valider la signature des émetteurs car elle ne dépend que de la clé publique qui restait la même. Et si le certificat de CA renouvelé n'est pas non plus expiré, la validation du chemin succède même si au moment de la création de certificats de plomb, un autre certificat de CA a été utilisé.

15
Steffen Ullrich