O que acontece com os certificados de assinatura de código quando a CA raiz expira?

Navegue suas respostas
8

Até agora, claro para mim: Se o próprio certificado de assinatura de código expirar, o código assinado será verificado / aceito, caso tenha sido assinado com um carimbo de data / hora. Caso contrário, o código assinado também expirou.

Mas o que acontece se minha CA expirar (CA raiz e, portanto, CAs emissoras)?

  • O código ainda será aceito se estiver com registro de data e hora?
  • Os certificados de CA raiz e emitidos expirados ainda devem estar presentes (por exemplo, no armazenamento de certificados de raiz raiz confiável)? Esta é minha suposição, mesmo que o CA possa ser rebaixado, o cliente que executa o assinado deve ainda confiar no CA? Caso contrário, a cadeia de confiança será quebrada, certo?
  • A falta de um CRL ou AIA causará algum problema?
por dr_pepper285 17.10.2017 / 17:52

1 resposta

11

But what happens if my CA itself expires (root CA an thus issuing CAs)?

Literalmente, nada. Vamos explicar um pouco mais detalhes.

Se a assinatura não tiver um registro de data e hora, a assinatura será válida desde que:

  • os dados não são adulterados
  • assinar certificado é válido no tempo
  • nenhum dos certificados na cadeia é revogado
    • O certificado raiz
  • é confiável

Após a assinatura do certificado expirar, ser revogada ou tornar-se inválida de uma ou outra forma, a assinatura é considerada inválida. Simples e simples.

O objetivo dos registros de data e hora na assinatura digital é fornecer uma confiança estendida para o conteúdo assinado. Os certificados de assinatura são válidos por um curto período de tempo e as configurações básicas de confiança não são adequadas para assinaturas de longo prazo (talvez arquivadas). Normalmente (sem timestamps), você terá que recriar a assinatura toda vez que o certificado de assinatura for renovado. É um caminho para lugar nenhum.

Ao adicionar um registro de data e hora a assinaturas digitais, as condições de confiança são alteradas para a seguinte lista:

  • os dados não são adulterados
  • assinar certificado * era * tempo válido no momento da assinatura: o tempo de assinatura está dentro da validade do certificado de assinatura
  • Nenhum certificado foi revogado * antes * da geração de assinaturas
  • os certificados de assinatura e registro de data e hora são vinculados a CAs raiz confiáveis (independentemente da validade de tempo, devem estar no armazenamento de confiança).

O que mudou aqui: a assinatura permanece válida após a expiração do certificado envolvido. Ou seja, cadeia inteira para assinatura e certificados de carimbo de data e hora podem expirar (junto com o certificado raiz) e não quebrará a confiança. Certificados na cadeia podem ser revogados. O único requisito: se algum certificado for revogado, o tempo de revogação (obtido da CRL) deverá ser definido para um horário após a criação da assinatura (o tempo de assinatura é identificado por um registro de data e hora). Frase anterior significa que deve haver uma CRL assinada para provar que nenhum certificado foi revogado no momento da assinatura.

Esta é a razão pela qual os sistemas Windows modernos remetem a certificados raiz expirados há muito tempo. Eles ainda são usados para validar assinaturas antigas e têm registro de data e hora.

Há algum tempo, escrevi uma postagem no blog que explica o assunto em mais detalhes: assinaturas digitais e timestamps

    
por 17.10.2017 / 21:31

Tags

Como faço para solucionar problemas da minha matriz RAID? Como restringir domínios não autorizados apontando para o endereço IP do meu site