数字证书的“生命”不一定会延续到失效日期。
当订户个人身份信息发生变化,或者订户私钥丢失、泄露或者疑似泄露时,证书订户应及时地向CA提出证书的撤销请求,CA也应及时地把此证书放入公开发布的证书撤销列表。证书的撤销也表示了证书生命的终结。
此外,数字证书在一些特殊情况下也可能在其失效日期之前被撤销。例如,数字证书订户没有按时向CA公司缴纳年费,数字证书订户擅自将证书进行了CA所不允许的用途且被CA发现,或者政府机关等权力部门(超出PKI系统技术范畴但是具有法律行政权力的部门单位)提出对尚处于有效期内的某数字证书的撤销要求。
当发生上述各种情况时,相应的数字证书继续正常使用可能会造成较为严重的影响,应当及时撤销。比如私钥泄露,可能会被其它获得此私钥的实体仿造数字签名去签署各种电子文件等,造成不可预计的各种结果包括经济损失。
CA一般采用证书撤销列表的方式将被撤销的证书告知其他订户,CRL中列举着所有在有效期内但被撤销的数字证书。
证书撤销的流程如下:
1. 订户或者其上级单位向RA提出撤销请求;
2. RA审查撤销请求;
3. 审查通过后,RA将撤销请求发送给CA或者CRL签发机构;
4. CA或者CRL签发机构修改证书状态,并签发新的CRL。
当该数字证书被放入CRL后,数字证书则被认为失效。注意,失效并不意味着无法被使用。如果窃取到甲的私钥的乙用甲的私钥签名了一份文件发送给丙,并附上甲的证书,如果丙忽视了对CRL的查看,丙就依然会用甲的证书成功的验证这份非法的签名,并会认为甲确实对这份文件签名。
随之而来一个话题,就是如何让各依赖方能够容易、及时、正确