期限切れの証明書の失効

Question

期限切れの証明書の取り消しは良い方法ですか？

期限切れの証明書は無効な証明書と見なされますが、取り消すことはできます。失効させることが可能であるため、CAによる有効なアプローチでなければなりません。

CAは、CAが取り消されたかどうか、および証明書の使用方法にどのような影響を与えるかを考慮しません。

Answer 1

悪い考えです。 CAはこれを行いません

期限切れの証明書は一般に拒否されます。有効期限が切れた証明書を使用して、デジタル署名の署名が無効であると検証されます。ブラウザーは、期限切れの証明書を持つサイトへのSSL接続を拒否します。追加の検証は不要です

実際には、既存の署名との矛盾が発生します。証明書有効期限に沿って署名を保持するために、署名はタイムスタンプで保護されています。タイムスタンプの証明書が期限切れに近づくと、追加のタイムスタンプが発行されます。長期署名フォーマットAdESには、使用済み証明書の取り消し証拠も組み込まれています。

期限切れの証明書を失効させると、署名は有効ですが、CAでの証明書のステータスは無効になります。それは意味がありません。

CAの観点からは、リソースの無駄です。失効した状態で何百万もの期限切れの証明書を持つ20歳のCAを考えてみましょう。驚異的な大規模なCRLファイル（失効リスト）とOCSPサービス（オンラインチェックステータス）を維持する必要があります

Answer 2

クライアントは期限切れの証明書を拒否することが予想されます。何らかの理由でクライアントが期限切れの証明書を受け取り、証明書が明示的に取り消されているかどうかを確認すると、失望する可能性が高くなります。 RFC 5280から（「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト（CRL）プロフィール」）：

完全なCRLのいずれかのために取り消されたその範囲内のすべての期限が切れていない証明書、 を示しています によってカバーされる取り消し理由CRLの範囲。完全かつ完全なCRLには、何らかの理由で取り消された、CAによって発行された期限切れのすべての 証明書がリストされます。

つまり、CRLは期限切れの証明書を一覧表示しません。

InCommon/Comodo CAは、期限切れの証明書を取り消すことを許可しません。他のCAも同様に設定されていると思われます。

Answer 3

デフォルトでは、失効した有効期限切れの 証明書に関する情報は、CRLにはデフォルトで含まれていません。サーバーは、発行ポイントにそのオプションを有効にすることにより、無効化された期限切れ証明書を で含めることができます。期限切れの証明書 が含まれている場合、失効した証明書に関する情報は、証明書の有効期限が切れたときにCRLから削除されません（ ）。期限切れの証明書が でない場合、失効した証明書の情報は、証明書の有効期限が切れると のCRLから削除されます。

ソース： https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.0/html/Admin_Guide/Revocation_and_CRLs.html