检查下一次CRL何时在证书有效期结束后发布

Question

我的情况是这样的：

我要核实文件上的签名。为此，我将等待下一个CRL发布时检查所涉及的证书是否被撤销。但是，如果证书在下一次更新之前终止(notAfter从证书的有效性开始)怎么办？

按示意图：

1. CRL出版
2. 签名创建
3. 证书到期(证书的notAfter时间)
4. CRL出版

假设证书在(1)和(4)之间被撤销。我认为它不会出现在CRL (4)中，因为它不再有效。但在这种情况下，我无法验证签名，或者可以吗？

Answer 1

你不是第一个想到这个的人。见PKIX rfc5280 3.3中的最后一句

509定义了一种证书撤销方法。该方法涉及到每个CA周期性地发出一个名为证书撤销列表(CRL)的签名数据结构。CRL是一个有时间标记的列表.定期发布新的CRL (例如每小时、每天或每周)。在通知撤销后，将一个条目添加到CRL，作为下一次更新的一部分。一个条目不能从CRL中删除，除非它出现在一个定期发布的CRL上，超过被撤销的证书的有效期。

PS:名词是“撤销”，但动词是“撤消”和过去时态“撤销”。

Answer 2

你应该以不同的眼光看待问题。如果证书在(1)和(4)之间被撤销，您仍然可以在任何情况下验证签名。真正的问题是:签名人的证书在签字时有效吗？从过期之日起，证书不再有效，因为不再有证书生存期由其CA“认证”(这并不意味着私钥被泄露)。

我希望这能帮上忙。