网站上过期的 X509 证书是否存在安全问题?
Is an expired X509 certificate on a website a security issue?
场景一:如果您在内部网站上使用的是自签名证书,您仍然在使用加密。最大的安全问题(我知道)是您的浏览器不会将证书识别为受信任的,并且当您告诉浏览器信任它时,大多数人不会验证您信任的证书实际上是Web 服务器上的证书,而不是用自己的证书替换您的证书的中间人系统。所以这里的安全问题就很清楚了。
场景二:使用真实的、全球信任的CA颁发的有效X509证书,当证书过期时,如果您选择绕过浏览器的警告并使用网站登录,安全问题是什么?您仍在使用加密。私钥在网络服务器上仍然是安全的。如果中间人系统试图替换证书,您可能会收到关于证书无效的浏览器警告,而不是关于证书已过期的警告。
PS。有一篇关于 Dangers of SSL Certificate Expiration 的整篇文章,但它所做的只是提到仅适用于 public 网站(而非内部网站)的业务不利因素(而非技术不利因素),并提及诸如“个人受到中间人攻击风险的信息”,对他们为什么认为是这种情况的解释为零。我不确定他们是否知道。我觉得互联网上的大多数网站都是针对像这样的复杂主题这样做的 - 他们说了一个他们认为是真实的通用陈述,但不知道为什么。
证书有生命周期以简化证书吊销。一旦证书过期,它就被认为是无效的,这意味着该证书的撤销信息不需要由 CA 保存并根据客户端的请求提供(即使用 CRL、OCSP 等的撤销检查)。
因此,如果过期证书遭到破坏(攻击者知道私钥),证书所有者无法撤销它,因为它已经无效了。这意味着中间人可以使用原始证书和窃取的私钥冒充原始服务器,而客户端无法通过检查吊销来检测到这一点。
场景一:如果您在内部网站上使用的是自签名证书,您仍然在使用加密。最大的安全问题(我知道)是您的浏览器不会将证书识别为受信任的,并且当您告诉浏览器信任它时,大多数人不会验证您信任的证书实际上是Web 服务器上的证书,而不是用自己的证书替换您的证书的中间人系统。所以这里的安全问题就很清楚了。
场景二:使用真实的、全球信任的CA颁发的有效X509证书,当证书过期时,如果您选择绕过浏览器的警告并使用网站登录,安全问题是什么?您仍在使用加密。私钥在网络服务器上仍然是安全的。如果中间人系统试图替换证书,您可能会收到关于证书无效的浏览器警告,而不是关于证书已过期的警告。
PS。有一篇关于 Dangers of SSL Certificate Expiration 的整篇文章,但它所做的只是提到仅适用于 public 网站(而非内部网站)的业务不利因素(而非技术不利因素),并提及诸如“个人受到中间人攻击风险的信息”,对他们为什么认为是这种情况的解释为零。我不确定他们是否知道。我觉得互联网上的大多数网站都是针对像这样的复杂主题这样做的 - 他们说了一个他们认为是真实的通用陈述,但不知道为什么。
证书有生命周期以简化证书吊销。一旦证书过期,它就被认为是无效的,这意味着该证书的撤销信息不需要由 CA 保存并根据客户端的请求提供(即使用 CRL、OCSP 等的撤销检查)。
因此,如果过期证书遭到破坏(攻击者知道私钥),证书所有者无法撤销它,因为它已经无效了。这意味着中间人可以使用原始证书和窃取的私钥冒充原始服务器,而客户端无法通过检查吊销来检测到这一点。