公鑰有效期

① 為什麼要給SSL證書設置有效期

為了提升SSL證書安全。

解釋原因：

1. CA機構考慮私鑰可能存在破解風險，所以要不斷的強制更新。

2. 久有效的證書導致CRL不斷增加，會增加瀏覽器的請求流量壓力

3. 有效期由3年(39個月)縮短為2年(825天)。EV證書因信任級別較高，最長有效期2年

4. 有效期對保護證書安全性是基於PKI技術的數字證書，結合公鑰加密演算法、對稱加密演算法、散列演算法等密碼技術，用於實現認證、加密、簽名等安全功能。

5. 沒有合理設置SSL證書有效期，會造成極大的安全威脅。自簽名SSL證書為例，自簽名SSL證書不受國際標准制約，可以把有效期設置為10年甚至20年。自簽名證書長期未更新，仍在使用非常不安全的1024位RSA演算法和SHA-1簽名演算法。超長的有效期和脆弱的加密演算法，讓黑客擁有足夠的時間和算力破解證書的加密密鑰，造成嚴重後果。

6. CA機構必須重新驗證身份信息，確保身份認證信息是最新的，並仍然擁有該域名。

解決辦法：證書只能注冊1年，可以讓Gworg約定提供5-6年SSL證書。

② 關於PGP 的公鑰變化問題

...你不是說同步了么?
很明顯公鑰發生變化了
~~不是聽的很明白,有可能會出現不正常情況~~加密和解密不是同一對鑰匙~~試試看就知道了,如果試一次沒問題就肯定沒問題了

③ 中國農業銀行網上銀行數字證書的版本號，序列號，簽發者，簽發時間，有效期，加密演算法，公鑰

不知是問什麼，而且問這個有什麼意義？

④ 什麼是公鑰證書

所謂的公鑰認證，實際上是使用一對加密字元串，一個稱為公鑰(public key)，任何人都可以看到其內容，用於加密；另一個稱為密鑰(private key)，只有擁有者才能看到，用於解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但根據公鑰來猜測密鑰卻十分困難。

ssh 的公鑰認證就是使用了這一特性。伺服器和客戶端都各自擁有自己的公鑰和密鑰。為了說明方便，以下將使用這些符號。

Ac 客戶端公鑰
Bc 客戶端密鑰
As 伺服器公鑰
Bs 伺服器密鑰

在認證之前，客戶端需要通過某種方法將公鑰 Ac 登錄到伺服器上。

認證過程分為兩個步驟。

會話密鑰(session key)生成
客戶端請求連接伺服器，伺服器將 As 發送給客戶端。
伺服器生成會話ID(session id)，設為 p，發送給客戶端。
客戶端生成會話密鑰(session key)，設為 q，並計算 r = p xor q。
客戶端將 r 用 As 進行加密，結果發送給伺服器。
伺服器用 Bs 進行解密，獲得 r。
伺服器進行 r xor p 的運算，獲得 q。
至此伺服器和客戶端都知道了會話密鑰q，以後的傳輸都將被 q 加密。
認證
伺服器生成隨機數 x，並用 Ac 加密後生成結果 S(x)，發送給客戶端
客戶端使用 Bc 解密 S(x) 得到 x
客戶端計算 q + x 的 md5 值 n(q+x)，q為上一步得到的會話密鑰
伺服器計算 q + x 的 md5 值 m(q+x)
客戶端將 n(q+x) 發送給伺服器
伺服器比較 m(q+x) 和 n(q+x)，兩者相同則認證成功

⑤ SSL證書是永久有效的嘛有效期多久

SSL證書最長注冊時間1年，沒有永久的SSL證書。
可以在Gworg辦理五年期SSL證書，每年SSL證書到期之前會頒發一個全新的SSL證書。

⑥ 請提供關於密鑰和公鑰的相關知識

公鑰基礎設施

作者：xxx123123 文章來源：本站原創 點擊數：29 更新時間：2005-8-29
一、 PKI概述
企業生意成功與否在很大程度上取決於該企業是否擁有一個安全可靠的網路系統。目前大多數企業的IT管理人員都為其企業的網路系統採取了某種形式的加密和認證方案。許多企業的網路管理人員正在利用Web向企業提供安全的Internet商務、虛擬專用網路(VPN)以及遠程認證服務,以使其遠地雇員擁有對企業網路的存取能力。然而,當前的大多數安全技術(例如用戶名和口令、一次性口令以及雙向鑒別)並不適合企業的安全需求,而且這些傳統的技術通常需要互不相同的維護與管理措施。
目前,越來越多的企業需要利用網路與其分布在世界各地的分支機構及遠地雇員相連,因此它們需要採取最有效的安全手段以保護企業資源。然而安全防範措施的加強同時也引發了更多額外的管理工作。值得慶幸的是,公共密鑰基礎設施(PKI)可幫助企業解決這一難題,它可幫助企業建立一個安全可靠的網路管理系統。PKI是一種易於管理的、集中化的網路安全方案。它可支持多種形式的數字認證: 數據加密、數字簽字、不可否認、身份鑒別、密鑰管理以及交叉認證等。PKI可通過一個基於認證的框架處理所有的數據加密和數字簽字工作。PKI標准與協議的開發迄今已有15年的歷史,目前的PKI已完全可以向企業網路提供有效的安全保障。

在運行機理上，有近50種有關PKI的標准在過去的15年中得以統一,供應商們的不懈努力較好地解決了其後端資料庫的互操作能力。一個PKI由眾多部件組成,這些部件共同完成兩個主要功能:為數據加密和創建數字認證。伺服器(即後端)產品是這一系統的核心,這些資料庫管理著數字認證、公共密鑰及專用密鑰(分別用於數據的加密和解密)。CA(Certificate Authority,認證權威)資料庫負責發布、廢除和修改X.509數字認證信息,它裝有用戶的公共密鑰、證書有效期以及認證功能(例如對數據的加密或對數字簽字的驗證)。為了防止對數據簽字的篡改,CA在把每一數字簽字發送給發出請求的客戶機之前,需對每一個數字簽字進行認證。一旦數字認證得以創建，它將會被自動存儲於X.500目錄中,X.500目錄為樹形結構。LDAP(Lightweight Directory Access Protocol)協議將響應那些要求提交所存儲的公共密鑰認證的請求。CA為每一用戶或伺服器生成兩對獨立的公共和專用密鑰。其中一對用於信息的加密和解密, 另一對由客戶機應用程序使用,用於文檔或信息傳輸中數字簽字的創建。

大多數PKI均支持證書分布,這是一個把已發布過的或續延生命期的證書加以存儲的過程。這一過程使用了一個公共查詢機制,X.500目錄可自動完成這一存儲過程。影響企業普遍接受PKI的一大障礙是不同CA之間的交叉認證。假設有兩家公司,每一家企業分別使用來自不同供應商的CA,現在它們希望相互託管一段時間。如果其後援資料庫支持交叉認證,則這兩家企業顯然可以互相託管它們的CA,因而它們所託管的所有用戶均可由兩家企業的CA所託管。

二、 PKI體系的基本組成

PKI是一種遵循標準的密鑰管理平台,它能夠為所有網路應用透明地提供採用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI必須具有認證機關( CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成分,構建PKI也將圍繞著這五大系統來構建。
＊ 認證機關

CA是證書的簽發機構,它是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理,公鑰體制涉及到一對密鑰,即私鑰和公鑰, 私鑰只由持有者秘密掌握,無須在網上傳送,而公鑰是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是公鑰的管理問題,目前較好的解決方案是引進證書（certificate）機制。

證書是公開密鑰體制的一種密鑰管理媒介。它是一種權威性的電子文檔，形同網路計算環境中的一種身份證，用於證明某一主體（如人、伺服器等）的身份以及其公開密鑰的合法性。在使用公鑰體制的網路環境中, 必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證,證明主體的身份以及他與公鑰的匹配關系。CA正是這樣的機構,它的職責歸納起來有:

1、驗證並標識證書申請者的身份；

2、確保CA用於簽名證書的非對稱密鑰的質量；

3、確保整個簽證過程的安全性,確保簽名私鑰的安全性；

4、證書材料信息（包括公鑰證書序列號、CA標識等）的管理；

5、確定並檢查證書的有效期限；

6、確保證書主體標識的唯一性,防止重名；

7、發布並維護作廢證書表；

8、對整個證書簽發過程做日誌記錄；

9、向申請人發通知。

其中最為重要的是CA自己的一對密鑰的管理，它必須確保其高度的機密性,防止他方偽造證書。CA的公鑰在網上公開,整個網路系統必須保證完整性。

＊ 證書庫

證書庫是證書的集中存放地,它與網上"白頁」類似,是網上的一種公共信息庫,用戶可以從此處獲得其他用戶的證書和公鑰。

構造證書庫的最佳方法是採用支持LDAP協議的目錄系統,用戶或相關的應用通過LDAP來訪問證書庫。系統必須確保證書庫的完整性,防止偽造、篡改證書。

＊ 密鑰備份及恢復系統

如果用戶丟失了用於解密數據的密鑰,則密文數據將無法被解密,造成數據丟失。為避免這種情況的出現,PKI應該提供備份與恢復解密密鑰的機制。密鑰的備份與恢復應該由可信的機構來完成，例如CA可以充當這一角色。值得強調的是，密鑰備份與恢復只能針對脫密密鑰，簽名私鑰不能夠作備份。

＊ 證書作廢處理系統

證書作廢處理系統是PKI的一個重要組件。同日常生活中的各種證件一樣，證書在CA為其簽署的有效期以內也可能需要作廢，例如,A公司的職員a辭職離開公司,這就需要終止a證書的生命期。為實現這一，PKI必須提供作廢證書的一系列機制。作廢證書有如下三種策略:

1、作廢一個或多個主體的證書；

2、作廢由某一對密鑰簽發的所有證書；

3、作廢由某CA簽發的所有證書。

作廢證書一般通過將證書列入作廢證書表（CRL）來完成。通常，系統中由CA負責創建並維護一張及時更新的CRL,而由用戶在驗證證書時負責檢查該證書是否在CRL之列。CRL一般存放在目錄系統中。證書的作廢處理必須在安全及可驗證的情況下進行,系統還必須保證CRL的完整性。

＊ PKI應用介面系統

PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用介面系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網路環境的可信性，同時降低管理維護成本。最後，PKI應用介面系統應該是跨平台的。

三、 PKI的功能 歸納起來，PKI應該為應用提供如下的安全支持 ：

＊ 證書與CA，PKI應實現CA以及證書庫、CRL等基本的證書管理功能。

＊ 密鑰備份及恢復證書。

＊ 密鑰對的自動更換證書、密鑰都有一定的生命期限。當用戶的私鑰泄露時,必須更換密鑰對；另外，隨著計算機速度日益提高,密鑰長度也必須相應地長。因此，PKI應該提供完全自動（無須用戶干預）的密鑰更換以及新的分發工作。

＊ 交叉驗證

每個CA只可能覆蓋一定的作用范圍，即CA的域，例如，不同的企業往往有各自的CA，它們頒發的證書都只在企業范圍內有效。當隸屬於不同CA的用戶需要交換信息時，就需要引入交叉證書和交叉驗證，這也是PKI必須完成的工作。

＊ 加密密鑰和簽名密鑰的分隔

如前所述，加密和簽名密鑰的密鑰管理需求是相互抵觸的，因此PKI應該支持加密和簽名密鑰的分隔使用。

＊ 支持對數字簽名的不可抵賴

任何類型的電子商務都離不開數字簽名，因此PKI必須支持數字簽名的不可抵賴性，而數字簽名的不可抵賴性依賴於簽名私鑰的唯一性和機密性,為確保這一點，PKI必須保證簽名密鑰與加密密鑰的分隔使用。

＊ 密鑰歷史的管理

每次更新加密密鑰後，相應的解密密鑰都應該存檔，以便將來恢復用舊密鑰加密的數據。每次更新簽名密鑰後，舊的簽名私鑰應該妥善銷毀，防止破壞其唯一性;相應的舊驗證公鑰應該進行存檔,以便將來用於驗證舊的簽名。這些工作都應該是PKI自動完成的。

四、 PKI體系的發展前景

如上所述,PKI對企業生意的成功與否至關重要,它可使企業擁有一個公共的安全基礎結構——一個所有安全的應用賴以存在的基礎結構。企業中的許多安全電子郵件、Internet商務應用、VPN以及單簽字功能的安全都將依賴於X.509的認證。PKI對數據加密、數字簽字、反否認、數字完整性以及甄別所需的密鑰和認證實施了統一的集中化管理。

每一企業均可受益於PKI結構化的管理方案。然而令人遺憾的是,迄今為止,僅有少數行業(包括銀行業、金融、健康保險)採用了這一系統。一些敢於嘗試新生事物的企業, 例如Automotive Network Exchange(由美國幾家最大的汽車製造商組成)已開始受益於這一安全技術。

預計,當企業的生意變得更依賴於Web時,為了確保它們對客戶信息的安全處理,更多的企業將會不斷轉向PKI。然而,迄今為止,採用PKI的企業仍寥寥無幾。PKI本身存在的問題是限制用戶廣泛採用它的主要原因。統一標準的缺乏,將許多美國企業拒之於PKI方案的大門之外。事實上,對於開發PKI產品來說,目前已有相當成熟的標准可依。缺乏良好的互操作性,也是PKI廣泛被採用的主要障礙之一。在PKI供應商能夠支持所有標准之前,許多企業需要使用其客戶機上的專利工具包,這也會在很大程度上限制PKI的迅速流行。

然而,限制PKI被廣泛採用的最主要的障礙依然是其設計與實現上的復雜性。但據預計,隨著PKI供應商的逐步統一與合並,實現PKI的過程將會變得越來越簡單。如果復雜的實現令你望而卻步, 則可以把企業的系統外包給某個第三方供應商。

許多權威的認證方案供應商(例如VeriSign、Thawte以及GTE)目前都在提供外包的PKI。外包PKI最大的問題是,用戶必須把企業託管給某一服務提供商, 即讓出對網路安全的控制權。如果不願這樣做,則可建造一個專用的PKI。專用方案通常需把來自Entrust、Baltimore Technologies以及Xcert的多種伺服器產品與來自主流應用程序供應商(如Microsoft、Netscape以及Qualcomm)的產品組合在一起。專用PKI還要求企業在准備其基礎設施的過程中投入大量的財力與物力。

對那些高風險行業(如銀行、金融及保險)來說,今後10年,PKI對它們長期的安全需求將至關重要。隨著PKI技術的廣泛流行,PKI的實現將會更趨簡單, 成本也會逐步降低。由於PKI僅於最近才開始變成一種可行的安全方案,因此這一技術仍有待進一步完善。如果你的企業不能等待這一技術的成熟,那麼現在就採用它,因為其目前的功能已足可以滿足一般企業的大多數安全需求。

⑦ 為什麼SSL證書要設有效期

目前SSL證書最長有效期從兩年縮短至一年。

解釋原因：

Apple和Google在行業內提出對證書有效期的新要求，表示旗下瀏覽器將於2020年8月30日24點之後不再信任頒發的兩年有效期TLS/SSL證書。行內知名的CA機構對此紛紛做出了調整：將TLS/SSL證書最長有效期從兩年縮短至一年。

1. CA機構考慮私鑰可能存在破解風險，所以要不斷的強制更新。

2. 久有效的證書導致CRL不斷增加，會增加瀏覽器的請求流量壓力

3. 有效期由3年(39個月)縮短為2年(825天)。EV證書因信任級別較高，最長有效期2年

4. 有效期對保護證書安全性是基於PKI技術的數字證書，結合公鑰加密演算法、對稱加密演算法、散列演算法等密碼技術，用於實現認證、加密、簽名等安全功能。

5. 沒有合理設置SSL證書有效期，會造成極大的安全威脅。自簽名SSL證書為例，自簽名SSL證書不受國際標准制約，可以把有效期設置為10年甚至20年。自簽名證書長期未更新，仍在使用非常不安全的1024位RSA演算法和SHA-1簽名演算法。超長的有效期和脆弱的加密演算法，讓黑客擁有足夠的時間和算力破解證書的加密密鑰，造成嚴重後果。

6. CA機構必須重新驗證身份信息，確保身份認證信息是最新的，並仍然擁有該域名。

解決辦法：證書只能注冊1年，可以讓Gworg提供5年預定證書。

⑧ 公鑰證書的證書

可以為各種功能頒發證書，例如 Web 用戶身份驗證、Web 伺服器身份驗證、安全電子郵件（安全/多用途 Internet 郵件擴展 (S/MIME)）、Internet 協議安全 (IPSec)、傳輸層安全 (TLS)以及和代碼簽名。證書還可以從一個證書頒發機構(CA) 頒發給另一個證書頒發機構，以便創建證書層次結構。
接收證書的實體是證書的「主題」。證書的頒發者和簽名者是證書頒發機構。
通常，證書包含以下信息：
主體的公鑰值
主體標識符信息（如名稱和電子郵件地址）
有效期（證書的有效時間）
頒發者標識符信息
頒發者的數字簽名，用來證實主題的公鑰和主題的標識符信息之間綁定關系的有效性
證書只有在指定的期限內才有效；每個證書都包含有效期的起止日期，它們是有效期的界限。一旦到了證書的有效期，到期證書的主題就必須申請一個新的證書。
某些情況下有必要撤消證書中所聲明的綁定關系，這時，可以由頒發者吊銷該證書。每個頒發者維護一個證書吊銷列表，程序可以使用該列表檢查任意給定證書的有效性。
證書的主要好處之一是主機不必再為單個主題維護一套密碼，這些單個主題進行訪問的先決條件的是需要通過身份驗證。相反，主機只需在證書頒發者中建立信任。
當主機（如安全 Web 伺服器）指派某個頒發者為受信任的根頒發機構時，主機實際上是信任該頒發者過去常用來建立所頒發證書的綁定關系的策略。事實上，主機信任頒發者已經驗證了證書主體的身份。主機通過將包含頒發者公鑰的頒發者自簽名證書放到主機的受信任根證書頒發機構的證書存儲區，將該頒發者指定為受信任的根頒發機構。中間的或從屬的證書頒發機構受到信任的條件是，他們擁有受信任根證書頒發機構的有效證書路徑。
有關證書的詳細信息，請參閱理解證書。

⑨ 伺服器ssl證書公鑰什麼時候改變

公鑰（Public Key）與私鑰（Private Key）是通過公鑰演算法得到的一個密鑰對（即一個公鑰和一個私鑰），公鑰是密鑰對中公開的部分，私鑰則是非公開的部分。公鑰通常用於加密會話密鑰、驗證數字簽名，或加密可以用相應的私鑰解密的數據。通過這種演算法得到的密鑰對能保證在世界范圍內是唯一的。
SSL證書公鑰是隨著SSL證書簽發而產生的，一張證書對應一對公私鑰，公鑰是不會改變的。

⑩ 如何看待SSL證書1年有效期新規

這個規定其實在國內很早就有了，只是國外SSL證書方面最近幾年才實行，目的是為了提升安全性，強制更新私鑰與公鑰，降低安全風險，所以SSL證書1年的規則是符合目前安全環境需求的。