信息安全 - D-Link 的证书吊销真的只有 1 天（六个月的暴露时间）无效吗？ - 吾爱随笔录

D-Link 的证书吊销真的只有 1 天（六个月的暴露时间）无效吗？

信息安全公钥基础设施证书吊销代码签名 ocsp

2021-08-19 23:53:55

我正试图围绕 OCSPrevocationTime来获取 D-Link 的证书。

时间线基本上是这样的：

Jul  5 00:00:00 2012 GMT. Validity: Not Before
Feb 27          2015      Inadvertent disclosure
--- six months of nothing ---
Sep  3 00:00:00 2015 GMT. OCSP "revocationTime" backdated to this.
--- one day of invalidity (?) ---
Sep  3 23:59:59 2015 GMT. Validity: Not After 
Sep 17          2015      Tweakers.net report 
Sep 18          2015      TheRegister.co.uk report
Sep 20 14:00    2015      Is-it-revoked-yet?-question posted.
Sep 20          2015      Answer posted. OCSP `good`
Sep 22          2015      Update answer posted. OCSP `revoked`

问题是这样的：

D-Link 的举措是否会追溯性地使可能使用/误用其密钥的1 天无效？

或者换个方式问：

尽管被撤销，9 月 2 日用被盗密钥签署的（假设的）EXE 是否仍然有效？

作为一个侧面/背景问题：

OCSP 的总体思路是revocationTime什么？您是否应该将其回溯到您认为密钥被泄露的第一个时间点？（我试图做我的研究。但我被困住了。我在OCSP RFC中找不到解释。Martin Rex 在 PKIX 邮件列表中的2012 年帖子也没有完全为我解决问题。 )

1个回答

OCSP 提供了一种动态机制，用于检查给定证书是否已被泄露，如果已泄露，在什么日期（和时间）之后使用此证书的签名应被视为不安全（基本上，它是 CRL 的动态版本） .

这有几个后果：

OCSP 响应应该回溯，以防它们指示“撤销”状态。这样做的原因很简单：通常在失去对该密钥的实际控制很久之后才发现该密钥被泄露。因此，提供一种方法来通知该证书的用户是否也应将旧签名视为无效（不撤销所有签名）是合乎逻辑的。
证书一旦被吊销，就不能再被视为有效。

由于 OCSP 响应可以 1) 缓存和 2) 预先生成，因此所有这些都变得更加复杂。这意味着，在颁发证书撤销状态后的一段时间内，不同的 OCSP 客户端可能会收到不同的答案。这种情况会一直持续到到达nextUpdate最后一个“证书有效”答案的字段所指示的日期为止。

所以：

D-Link 的举措是否会追溯性地使可能使用/误用其密钥的 1 天无效？

不，他们从当天 00:00:000 开始追溯使证书无效。

尽管被撤销，9 月 2 日用被盗密钥签署的（假设的）EXE 是否仍然有效？

是的，因为它是在证书吊销时间之前签署的。

您是否应该将其回溯到您认为密钥被泄露的第一个时间点？

是和否：您应该将其回溯到最后一次知道密钥是安全的日期。

其它你可能感兴趣的问题

上一篇软件公司是否有意将自己软件的假冒/受感染版本上传到文件共享网络以作为打击盗版的手段？下一篇方便的一次性写入媒体以连接到计算机：USB 记忆棒或设备？