Qu'advient-il des certificats de signature de code à l'expiration de l'autorité de certification racine?

9

Jusqu'à présent, clair pour moi: si le certificat de signature de code lui-même expire, le code signé sera vérifié / accepté au cas où il aurait été signé avec un horodatage. Sinon, le code signé est également arrivé à expiration.

Mais que se passe-t-il si mon autorité de certification elle-même expire (autorité de certification racine et autorités de certification ainsi émettrices)?

  • Le code sera-t-il toujours accepté s'il est horodaté?
  • Les certificats racine et émetteur de l'autorité de certification expirés doivent-ils toujours être présents (par exemple, dans le magasin de certificats racine de confiance)? C'est mon hypothèse, même si l'autorité de certification peut être rétrogradée, le client qui exécute le signé doit toujours approuver l'autorité de certification? Sinon, la chaîne de confiance sera rompue, non?
  • L'absence de CRL ou d'AIA posera-t-elle des problèmes?
dr_pepper285
la source

Réponses:

12

Mais que se passe-t-il si mon autorité de certification elle-même expire (autorité de certification racine et autorités de certification ainsi émettrices)?

Littéralement, rien. Expliquons-le un peu plus en détail.

Si la signature n'est pas horodatée, la signature est valide tant que:

  • les données ne sont pas falsifiées
  • le certificat de signature est valide
  • aucun des certificats de la chaîne n'est révoqué
  • le certificat racine est approuvé

Une fois le certificat de signature expiré, révoqué ou devenu invalide d'une manière ou d'une autre, la signature est considérée comme non valide. Clair et simple.

Le but des horodatages dans la signature numérique est de fournir une confiance étendue pour le contenu signé. Les certificats de signature sont valides pour une courte période et les paramètres de confiance de base ne conviennent pas à la signature à long terme (peut-être archivée). Normalement (sans horodatage), vous devrez recréer la signature à chaque renouvellement de certificat de signature. C'est un chemin vers nulle part.

En ajoutant un horodatage aux signatures numériques, les conditions d'approbation sont modifiées dans la liste suivante:

  • les données ne sont pas falsifiées
  • certificat de signature * était * heure valide au moment de la signature: l'heure de signature est dans la validité du certificat de signature
  • Aucun des deux certificats n'a été révoqué * avant * la génération de signature
  • à la fois, les certificats de signature et d'horodatage se connectent aux autorités de certification racines de confiance (quelle que soit leur validité temporelle, ils doivent simplement être dans le magasin de clés de confiance).

Ce qui a changé ici: la signature reste valide après l'expiration du certificat concerné. Autrement dit, toute la chaîne de signature et les certificats d'horodatage peuvent expirer (avec le certificat racine) et cela ne rompra pas la confiance. Les certificats de la chaîne peuvent être révoqués. La seule exigence: si un certificat est révoqué, l'heure de révocation (obtenue à partir de la liste de révocation de certificats) doit être définie sur une heure après la création de la signature (l'heure de signature est identifiée par un horodatage). La phrase précédente signifie qu'il doit y avoir une liste de révocation de certificats signée pour prouver qu'aucun des certificats n'a été révoqué au moment de la signature.

C'est la raison pour laquelle les systèmes Windows modernes expédient depuis longtemps des certificats racine expirés. Ils sont encore utilisés pour valider les anciennes signatures et qui sont horodatées.

Il y a quelque temps, j'ai écrit un article de blog qui explique le sujet plus en détail: signatures numériques et horodatages

Crypt32
la source
Votre article de blog est un très bon article sur le sujet!
ThoriumBR
J'ai trouvé ce sujet très déroutant dans IT Pro (et les développeurs) et j'ai essayé de trier les choses dans un article de blog.
Crypt32
Mais le point avec le CRL n'est pas totalement clair pour moi. J'ai donc toujours besoin de la (dernière) liste de révocation de certificats des autorités de certification expirées?
dr_pepper285
Oui, des CRL sont requises. Pas nécessaire en dernier, il doit être publié ( ThisUpdatechamp) après l'heure de signature. Cette liste de révocation de certificats peut prouver qu'aucun des deux chaînes (signature et horodatage) n'a été révoqué au moment de la signature.
Crypt32