当更上一层的证书在我之前到期时会发生什么?(Equifax/GeoTrust)

信息安全 证书颁发机构 openssl ocsp
2021-09-01 13:25:59

我刚从 RapidSSL 购买了一个证书。查找链,我找到了由 Equifax 签名的 GeoTrust。

然后我意识到“Equifax 安全证书颁发机构”将于 2018 年 8 月 22 日格林威治标准时间 16:42 到期。虽然我的证书将于 2018 年 9 月 1 日格林威治标准时间 01:32 到期。GeoTrust 将于 2022 年 5 月 21 日 6:00 到期。给我的新证书比证书更上一层楼的寿命更长。

在我的证书的最后八天会发生什么?它会因为链条被破坏而不再有效吗?

我在组装链条以使 OSCP 在 OpenSSL 中工作时遇到了这个问题。当我的链不包含 Equifax 时,OpenSSL 会出现错误,而浏览器和其他客户端似乎只对 GeoTrust 证书感到满意,而没有进一步提升链。(我认为浏览器假定 GeoTrust 是顶级 CA,而 OpenSSL 对它们不满意。)

openssl ocsp -issuer RapidSSL_GeoTrust_Equifax.pem \
  -cert my_rappidssl_cert.pem -url http://rapidssl-ocsp.geotrust.com

(当设置为 OCSP 主证书时,这也会影响 nginx。它的失败方式与 OpenSSL 处理不完整链的方式相同。)

无论如何,我可以获得证书的最后八天吗?还是我应该要求 8 天退款?😉

2018 年之后 GeoTrust 证书会发生什么?

2个回答

GeoTrust(和 RapidSSL)证书有两个信任路径。 GeoTrust Global CA 有一个根证书,有效期为 2002-05-21 至 2022-05-21,现已广泛使用,还有一个适用于同一 CA 的“桥”证书,有效期为 2002-05-21 至 2018-08-21 链接回到 Equifax 安全证书颁发机构,如您所见,有效期为 1998 年 8 月 22 日至 2018 年 8 月 22 日。请参阅我对谷歌证书正确 CA的(更新)答案所以是的,如果使用 bridge+Equifax 链,您的证书将在最近几天无效

这也会影响您在非标题问题中的 OCSP 响应。

我没有要测试的 rapidssl 证书,但如果我向 gtglobal-ocsp.geotrust.com 询问有关 google-CA 的问题,响应者证书也在 GeoTrust Global CA 下。如果 rapidssl-ocsp 也这样做,如果信任库包含 GeoTrust 根但不包含网桥证书,OpenSSL 应该验证响应,因为这会混淆链查找 - 至少到目前为止;1.0.2 宣布对链验证进行更改,我还没有查看详细信息。

对于服务器证书 AFAIK,所有主要浏览器都信任 GeoTrust 根并将链接到它。我不知道他们以相同的方式验证 OCSP 响应(作为服务器证书),但我希望并期望如此。

但是请注意,如果您的服务器(配置了和)在握手中提供了桥证书,并且可能提供了 Equifax 根 - 在握手中根始终是可选且不必要的,OpenSSL 客户端(迄今为止如上所述)必须在信任库中具有 Equifax 根,它不会“发现”到 GeoTrust 根的替代和更好的信任路径,而浏览器和其他客户端可能会。

他们必须在他们的证书失效之前颁发新证书。只要他们使用相同的私钥来签署他们的新(根)证书,只要您信任他们的权威,您的(更有效的)证书就会被接受。

证书的有效性不是基于证书本身,而是基于私钥的签名。使用相同的私钥生成具有新有效期的新公共证书,将保持信任不变。

其它你可能感兴趣的问题
上一篇IFTTT 的安全性 下一篇隐身模式下的 HSTS 行为?