TLS安全通信 - 证书验证

Question

我需要一些信息来验证服务器证书。 我希望第一步执行基于日期的验证。 准确地说，我正在研究由 CA 签名的服务器证书是否过期的可能性。 如果 CA 有效期于 2022 年 12 月到期，我是否仍可以让其签署本应于 2023 年 4 月到期的服务器证书？ 换句话说，如果我的服务器证书有一定的到期日期，我是否可以假设签署它的 CA 也具有等于或大于服务器证书的有效性？ 如果不是，我应该对 CA 或 CA 链进行单独的日期验证吗？

提前致谢。

Answer 1

如果CA有效性于2022年12月到期，我仍然可以将其签署我的服务器证书，该证书仅在2023年4月到期？

从技术上讲，是的。但是，大多数CA实施限制了已发行的证书有效性，以与CA证书寿命相交。

如果没有，我应该对CA的CA或链链？

进行单独的日期验证

作为一个很好的做法，您应该验证链中的所有证书。但是，我建议不要写自己的验证。大多数框架都提供功能齐全的证书验证引擎。日期验证不是唯一需要验证的唯一其他检查，还有许多其他检查可以按照 RFC5280§6。使用框架提供的API来验证证书并依靠其结果。