当链上端的证书比我的证书过期时会发生什么？(Equifax/GeoTrust)

Question

我刚从RapidSSL那里买了一张证书。翻看链条，我找到了GeoTrust，他是由Equifax签名的。

然后我意识到“Equifax安全证书颁发机构”将于2018-08-22格林尼治标准时间16:42到期。我的证书将于2018-09-01格林尼治时间01:32到期。GeoTrust将于2022-05-21在6:00到期.给我的新证书的寿命比链上的证书更长。

在我的证书的最后八天会发生什么？它是否将不再有效，因为链将被打破？

我在组装链以使OSCP在OpenSSL中工作时遇到了这个问题。当我的链不包含Equifax时，OpenSSL发出了错误，而浏览器和其他客户端似乎只对GeoTrust认证面感到满意，而没有在链上更进一步。(我假设浏览器假定GeoTrust是顶级CA，而OpenSSL对它们不满意。)

openssl ocsp -issuer RapidSSL_GeoTrust_Equifax.pem \
  -cert my_rappidssl_cert.pem -url http://rapidssl-ocsp.geotrust.com

(当设置为OCSP主要证书时，这也会影响到nginx。它的失败方式与OpenSSL处理不完整链的方式相同。)

不管怎么样，我能拿到最后八天的证书吗？还是我应该要求8天的退款？

2018年后，GeoTrust证书会发生什么？

Answer 1

GeoTrust (和RapidSSL)证书有两个信任路径。GeoTrust全球CA具有根证书( 2002-05-21至2022-05-21 )，现在广泛使用，同时也为同样有效的CA颁发了“桥梁”证书( 2002-05-21至2018-08-21 )，链接回Equifax安全证书机构，如您所见，该证书的有效期为1998-08-22至2018-08-22。请参阅我对谷歌证书更正CA的(更新)答案。因此，如果使用bridge+Equifax链，您的证书将在最后几天无效。

这也会影响OCSP在您的非标题问题中的回答。

我没有一个rapidssl证书要测试，但如果我问gtglobal-ocsp.Geotru.com关于google的信息，应答者证书也是在GeoTrust全球CA下。如果rapidssl做了同样的事情，如果信任库包含GeoTrust根，而不是桥证书，那么OpenSSL应该验证响应，因为这可能会混淆链查找--至少到目前为止；1.0.2被宣布在链验证中有更改，我还没有看过细节。

对于服务器证书，AFAIK所有主要浏览器都信任GeoTrust根，并将链接到它。我不知道他们以同样的方式验证OCSP响应(作为服务器证书)，但我希望并期望如此。

但是请注意，如果您的服务器(配置为和)在握手中提供桥接证书，并且可能在握手中Equifax根- root始终是可选的和不必要的，那么OpenSSL客户端(到目前为止)必须在信任库中使用Equifax根，它不会“发现”到GeoTrust根的备用和更好的信任路径，浏览器和其他客户端也会这样做。

Answer 2

在他们的证书失效之前，他们必须签发新的证书。只要他们使用相同的私钥来签署他们的新(根)证书，只要你信任他们的权威，你的(更长的有效期)证书就会被接受。

证书的有效性不是基于证书本身，而是基于私钥的签名。使用相同的私钥生成具有新有效期的新公共证书将使信任保持不变。