Але що станеться, якщо мій КА закінчиться термін дії (кореневий ЦА, таким чином, видаючи ЦС)?
Буквально нічого. Пояснимо це трохи детальніше.
Якщо підпис не позначений часом, підпис дійсний до тих пір, як:
- дані не підроблені
- сертифікат підпису дійсний
- жоден сертифікат у ланцюжку не відкликаний
- кореневому сертифікату довіряють
Після того, як термін дії підпису закінчився, відкликаний або стає недійсним тим чи іншим чином, підпис вважається недійсним. Простий і простий.
Метою часових позначок цифрового підпису є надання розширеної довіри вмісту, що підписується. Підписи сертифікатів дійсні протягом короткого періоду часу, а основні параметри довіри не підходять для довгострокового (можливо, архівованого) підписання. Зазвичай (без часових позначок) вам доведеться відтворювати підпис кожного разу, коли сертифікат підпису поновлюється. Це спосіб нікуди.
Додавши часову позначку до цифрових підписів, умови довіри змінюються на такий список:
- дані не підроблені
- Сертифікат підпису * був * час дійсний під час підписання: час підписання - в межах терміну підписання
- Жоден сертифікат не був відкликаний * до * генерації підпису
- обидва, сертифікати для підписання та позначення часових позначок ланцюжком підходять до надійних кореневих ЦС (незалежно від їх терміну дії, просто повинні бути в магазині довіри).
Що тут змінилося: підпис залишається чинним після закінчення терміну дії сертифіката. Тобто, весь ланцюжок сертифікатів для підписання та часових позначок може закінчитися (разом із кореневим сертифікатом), і він не порушить довіру. Сертифікати в ланцюжку можуть бути відкликані. Єдина вимога: якщо будь-який сертифікат відкликаний, час відкликання (він отриманий від CRL) повинен бути встановлений на час після створення підпису (час підписання визначається часовою позначкою). Попереднє речення означає, що повинен бути підписаний CRL, який підтверджує, що жоден сертифікат не був відкликаний під час підписання.
З цієї причини сучасні системи Windows постачають кореневі сертифікати давно закінчених термінів. Вони все ще використовуються для перевірки старих підписів, на які відмічаються часові позначки.
Нещодавно я написав допис у блозі, де детальніше пояснюється тема: Цифрові підписи та часові позначки