発行者の後にサーバー証明書に有効期限を設けることはできますか?
ほとんどの場合、私が使用するすべてのサーバー証明書は発行者の前に期限切れになりますが、サーバー証明書が発行者の期限切れ後になる可能性があり、これは適用されます中間証明書にも(ルート証明書の期限切れ後)?
もしそうなら、クライアントは、サーバー証明書がそうでない間、期限切れの中間証明書でリモートを信頼するべきですか?
私は 認証局のルート証明書の有効期限と更新 を調べましたが、その答えを完全に理解していません。
SSL FAQ によると:
特定の証明書の有効性(つまり信頼のレベル)は、署名した上位レベルの証明書の対応する有効性によって決まります。
したがって、技術的に発行者よりも長持ちする証明書を作成することは可能ですが、中間の瞬間にチェーンが壊れるので意味がありません(またはルート)証明書が無効になります(何らかの理由で)。どのクライアントもそのようなチェーンを信頼するべきではありません(そして信頼しません)。
証明書の署名は、発行者証明書の公開鍵にのみ依存し、発行者証明書またはその他のパラメーターの有効期限には依存しません。ただし、パスの検証は、失効していない信頼チェーン内のすべての証明書に依存します。
クライアントにサーバー証明書と期限切れの発行者証明書のみがある場合、パスの検証は失敗します。ただし、証明書が更新されることはごく一般的です。つまり、有効期限が異なるが同じ公開鍵が作成される新しい証明書です。これはCA証明書にも当てはまります。したがって、クライアントがこの新しい発行者証明書を持っている場合、同じままであった公開鍵にのみ依存するため、発行者の署名を検証できます。また、更新されたCA証明書も有効期限が切れていない場合、先頭の証明書の作成時に別のCA証明書が使用されていても、パスの検証は成功します。