X.509 证书的序列号是否需要严格按顺序排列,或者它们可以是时间戳吗?

信息安全 证书 证书颁发机构 x.509
2021-08-15 14:43:20

X.509 证书的序列号必须是唯一的。但是它们是否需要严格按顺序排列,或者使它们等于生成证书的时间就足够了?

3个回答

它们不必是连续的。此外,如本文所述,使用可预测的序列号存在一些问题:

https://crypto.stackexchange.com/questions/257/unpredictability-of-x-509-serial-numbers

只需查看CA/浏览器论坛基线要求v1.3.0、7.1。证书简介:

CA 应该生成显示至少 20 位熵的非连续证书序列号。

你就会知道答案。

我正在查看规范,它指出它必须是唯一的。它没有说明它应该是顺序的或其他的。该值也是一个“整数”。

4.1.2.2 序列号

序列号是 CA 分配给每个
证书的整数。对于给定 CA颁发的每个证书,它必须是唯一的
(即,颁发者名称和序列号标识唯一的
证书)。

编辑

  • 我同意@pineappleman - 虽然规格没有说明 -在序列号中没有可预测性是有道理的。
  • 时间戳的另一个问题是您必须以某种方式确保同时请求的 2 个证书不会获得相同的序列号。
其它你可能感兴趣的问题
上一篇这怎么能证明点击劫持漏洞? 下一篇在 SSL Labs 的上下文中,“信任库”在哪里?