导航:首页 > 专利知识 > 公钥有效期

公钥有效期

发布时间:2021-11-04 11:32:45

① 为什么要给SSL证书设置有效期

为了提升SSL证书安全。

解释原因:

  1. CA机构考虑私钥可能存在破解风险,所以要不断的强制更新。

  2. 久有效的证书导致CRL不断增加,会增加浏览器的请求流量压力

  3. 有效期由3年(39个月)缩短为2年(825天)。EV证书因信任级别较高,最长有效期2年

  4. 有效期对保护证书安全性是基于PKI技术的数字证书,结合公钥加密算法、对称加密算法、散列算法等密码技术,用于实现认证、加密、签名等安全功能。

  5. 没有合理设置SSL证书有效期,会造成极大的安全威胁。自签名SSL证书为例,自签名SSL证书不受国际标准制约,可以把有效期设置为10年甚至20年。自签名证书长期未更新,仍在使用非常不安全的1024位RSA算法和SHA-1签名算法。超长的有效期和脆弱的加密算法,让黑客拥有足够的时间和算力破解证书的加密密钥,造成严重后果。

  6. CA机构必须重新验证身份信息,确保身份认证信息是最新的,并仍然拥有该域名。

解决办法:证书只能注册1年,可以让Gworg约定提供5-6年SSL证书。

② 关于PGP 的公钥变化问题

...你不是说同步了么?
很明显公钥发生变化了
~~不是听的很明白,有可能会出现不正常情况~~加密和解密不是同一对钥匙~~试试看就知道了,如果试一次没问题就肯定没问题了

③ 中国农业银行网上银行数字证书的版本号,序列号,签发者,签发时间,有效期,加密算法,公钥

不知是问什么,而且问这个有什么意义?

④ 什么是公钥证书

所谓的公钥认证,实际上是使用一对加密字符串,一个称为公钥(public key),任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。

ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便,以下将使用这些符号。

Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥

在认证之前,客户端需要通过某种方法将公钥 Ac 登录到服务器上。

认证过程分为两个步骤。

会话密钥(session key)生成
客户端请求连接服务器,服务器将 As 发送给客户端。
服务器生成会话ID(session id),设为 p,发送给客户端。
客户端生成会话密钥(session key),设为 q,并计算 r = p xor q。
客户端将 r 用 As 进行加密,结果发送给服务器。
服务器用 Bs 进行解密,获得 r。
服务器进行 r xor p 的运算,获得 q。
至此服务器和客户端都知道了会话密钥q,以后的传输都将被 q 加密。
认证
服务器生成随机数 x,并用 Ac 加密后生成结果 S(x),发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x),q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x),两者相同则认证成功

⑤ SSL证书是永久有效的嘛有效期多久

SSL证书最长注册时间1年,没有永久的SSL证书。
可以在Gworg办理五年期SSL证书,每年SSL证书到期之前会颁发一个全新的SSL证书。

⑥ 请提供关于密钥和公钥的相关知识

公钥基础设施

作者:xxx123123 文章来源:本站原创 点击数:29 更新时间:2005-8-29
一、 PKI概述
企业生意成功与否在很大程度上取决于该企业是否拥有一个安全可靠的网络系统。目前大多数企业的IT管理人员都为其企业的网络系统采取了某种形式的加密和认证方案。许多企业的网络管理人员正在利用Web向企业提供安全的Internet商务、虚拟专用网络(VPN)以及远程认证服务,以使其远地雇员拥有对企业网络的存取能力。然而,当前的大多数安全技术(例如用户名和口令、一次性口令以及双向鉴别)并不适合企业的安全需求,而且这些传统的技术通常需要互不相同的维护与管理措施。
目前,越来越多的企业需要利用网络与其分布在世界各地的分支机构及远地雇员相连,因此它们需要采取最有效的安全手段以保护企业资源。然而安全防范措施的加强同时也引发了更多额外的管理工作。值得庆幸的是,公共密钥基础设施(PKI)可帮助企业解决这一难题,它可帮助企业建立一个安全可靠的网络管理系统。PKI是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证: 数据加密、数字签字、不可否认、身份鉴别、密钥管理以及交叉认证等。PKI可通过一个基于认证的框架处理所有的数据加密和数字签字工作。PKI标准与协议的开发迄今已有15年的历史,目前的PKI已完全可以向企业网络提供有效的安全保障。

在运行机理上,有近50种有关PKI的标准在过去的15年中得以统一,供应商们的不懈努力较好地解决了其后端数据库的互操作能力。一个PKI由众多部件组成,这些部件共同完成两个主要功能:为数据加密和创建数字认证。服务器(即后端)产品是这一系统的核心,这些数据库管理着数字认证、公共密钥及专用密钥(分别用于数据的加密和解密)。CA(Certificate Authority,认证权威)数据库负责发布、废除和修改X.509数字认证信息,它装有用户的公共密钥、证书有效期以及认证功能(例如对数据的加密或对数字签字的验证)。为了防止对数据签字的篡改,CA在把每一数字签字发送给发出请求的客户机之前,需对每一个数字签字进行认证。一旦数字认证得以创建,它将会被自动存储于X.500目录中,X.500目录为树形结构。LDAP(Lightweight Directory Access Protocol)协议将响应那些要求提交所存储的公共密钥认证的请求。CA为每一用户或服务器生成两对独立的公共和专用密钥。其中一对用于信息的加密和解密, 另一对由客户机应用程序使用,用于文档或信息传输中数字签字的创建。

大多数PKI均支持证书分布,这是一个把已发布过的或续延生命期的证书加以存储的过程。这一过程使用了一个公共查询机制,X.500目录可自动完成这一存储过程。影响企业普遍接受PKI的一大障碍是不同CA之间的交叉认证。假设有两家公司,每一家企业分别使用来自不同供应商的CA,现在它们希望相互托管一段时间。如果其后援数据库支持交叉认证,则这两家企业显然可以互相托管它们的CA,因而它们所托管的所有用户均可由两家企业的CA所托管。

二、 PKI体系的基本组成

PKI是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI必须具有认证机关( CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。
* 认证机关

CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理,公钥体制涉及到一对密钥,即私钥和公钥, 私钥只由持有者秘密掌握,无须在网上传送,而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案是引进证书(certificate)机制。

证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中, 必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。CA正是这样的机构,它的职责归纳起来有:

1、验证并标识证书申请者的身份;

2、确保CA用于签名证书的非对称密钥的质量;

3、确保整个签证过程的安全性,确保签名私钥的安全性;

4、证书材料信息(包括公钥证书序列号、CA标识等)的管理;

5、确定并检查证书的有效期限

6、确保证书主体标识的唯一性,防止重名;

7、发布并维护作废证书表;

8、对整个证书签发过程做日志记录;

9、向申请人发通知。

其中最为重要的是CA自己的一对密钥的管理,它必须确保其高度的机密性,防止他方伪造证书。CA的公钥在网上公开,整个网络系统必须保证完整性。

* 证书库

证书库是证书的集中存放地,它与网上"白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。

构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。

* 密钥备份及恢复系统

如果用户丢失了用于解密数据的密钥,则密文数据将无法被解密,造成数据丢失。为避免这种情况的出现,PKI应该提供备份与恢复解密密钥的机制。密钥的备份与恢复应该由可信的机构来完成,例如CA可以充当这一角色。值得强调的是,密钥备份与恢复只能针对脱密密钥,签名私钥不能够作备份。

* 证书作废处理系统

证书作废处理系统是PKI的一个重要组件。同日常生活中的各种证件一样,证书在CA为其签署的有效期以内也可能需要作废,例如,A公司的职员a辞职离开公司,这就需要终止a证书的生命期。为实现这一,PKI必须提供作废证书的一系列机制。作废证书有如下三种策略:

1、作废一个或多个主体的证书;

2、作废由某一对密钥签发的所有证书;

3、作废由某CA签发的所有证书。

作废证书一般通过将证书列入作废证书表(CRL)来完成。通常,系统中由CA负责创建并维护一张及时更新的CRL,而由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。证书的作废处理必须在安全及可验证的情况下进行,系统还必须保证CRL的完整性。

* PKI应用接口系统

PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,同时降低管理维护成本。最后,PKI应用接口系统应该是跨平台的。

三、 PKI的功能 归纳起来,PKI应该为应用提供如下的安全支持 :

* 证书与CA,PKI应实现CA以及证书库、CRL等基本的证书管理功能。

* 密钥备份及恢复证书。

* 密钥对的自动更换证书、密钥都有一定的生命期限。当用户的私钥泄露时,必须更换密钥对;另外,随着计算机速度日益提高,密钥长度也必须相应地长。因此,PKI应该提供完全自动(无须用户干预)的密钥更换以及新的分发工作。

* 交叉验证

每个CA只可能覆盖一定的作用范围,即CA的域,例如,不同的企业往往有各自的CA,它们颁发的证书都只在企业范围内有效。当隶属于不同CA的用户需要交换信息时,就需要引入交叉证书和交叉验证,这也是PKI必须完成的工作。

* 加密密钥和签名密钥的分隔

如前所述,加密和签名密钥的密钥管理需求是相互抵触的,因此PKI应该支持加密和签名密钥的分隔使用。

* 支持对数字签名的不可抵赖

任何类型的电子商务都离不开数字签名,因此PKI必须支持数字签名的不可抵赖性,而数字签名的不可抵赖性依赖于签名私钥的唯一性和机密性,为确保这一点,PKI必须保证签名密钥与加密密钥的分隔使用。

* 密钥历史的管理

每次更新加密密钥后,相应的解密密钥都应该存档,以便将来恢复用旧密钥加密的数据。每次更新签名密钥后,旧的签名私钥应该妥善销毁,防止破坏其唯一性;相应的旧验证公钥应该进行存档,以便将来用于验证旧的签名。这些工作都应该是PKI自动完成的。

四、 PKI体系的发展前景

如上所述,PKI对企业生意的成功与否至关重要,它可使企业拥有一个公共的安全基础结构——一个所有安全的应用赖以存在的基础结构。企业中的许多安全电子邮件、Internet商务应用、VPN以及单签字功能的安全都将依赖于X.509的认证。PKI对数据加密、数字签字、反否认、数字完整性以及甄别所需的密钥和认证实施了统一的集中化管理。

每一企业均可受益于PKI结构化的管理方案。然而令人遗憾的是,迄今为止,仅有少数行业(包括银行业、金融、健康保险)采用了这一系统。一些敢于尝试新生事物的企业, 例如Automotive Network Exchange(由美国几家最大的汽车制造商组成)已开始受益于这一安全技术。

预计,当企业的生意变得更依赖于Web时,为了确保它们对客户信息的安全处理,更多的企业将会不断转向PKI。然而,迄今为止,采用PKI的企业仍寥寥无几。PKI本身存在的问题是限制用户广泛采用它的主要原因。统一标准的缺乏,将许多美国企业拒之于PKI方案的大门之外。事实上,对于开发PKI产品来说,目前已有相当成熟的标准可依。缺乏良好的互操作性,也是PKI广泛被采用的主要障碍之一。在PKI供应商能够支持所有标准之前,许多企业需要使用其客户机上的专利工具包,这也会在很大程度上限制PKI的迅速流行。

然而,限制PKI被广泛采用的最主要的障碍依然是其设计与实现上的复杂性。但据预计,随着PKI供应商的逐步统一与合并,实现PKI的过程将会变得越来越简单。如果复杂的实现令你望而却步, 则可以把企业的系统外包给某个第三方供应商。

许多权威的认证方案供应商(例如VeriSign、Thawte以及GTE)目前都在提供外包的PKI。外包PKI最大的问题是,用户必须把企业托管给某一服务提供商, 即让出对网络安全的控制权。如果不愿这样做,则可建造一个专用的PKI。专用方案通常需把来自Entrust、Baltimore Technologies以及Xcert的多种服务器产品与来自主流应用程序供应商(如Microsoft、Netscape以及Qualcomm)的产品组合在一起。专用PKI还要求企业在准备其基础设施的过程中投入大量的财力与物力。

对那些高风险行业(如银行、金融及保险)来说,今后10年,PKI对它们长期的安全需求将至关重要。随着PKI技术的广泛流行,PKI的实现将会更趋简单, 成本也会逐步降低。由于PKI仅于最近才开始变成一种可行的安全方案,因此这一技术仍有待进一步完善。如果你的企业不能等待这一技术的成熟,那么现在就采用它,因为其目前的功能已足可以满足一般企业的大多数安全需求。

⑦ 为什么SSL证书要设有效期

目前SSL证书最长有效期从两年缩短至一年。

解释原因:

Apple和Google在行业内提出对证书有效期的新要求,表示旗下浏览器将于2020年8月30日24点之后不再信任颁发的两年有效期TLS/SSL证书。行内知名的CA机构对此纷纷做出了调整:将TLS/SSL证书最长有效期从两年缩短至一年。

  1. CA机构考虑私钥可能存在破解风险,所以要不断的强制更新。

  2. 久有效的证书导致CRL不断增加,会增加浏览器的请求流量压力

  3. 有效期由3年(39个月)缩短为2年(825天)。EV证书因信任级别较高,最长有效期2年

  4. 有效期对保护证书安全性是基于PKI技术的数字证书,结合公钥加密算法、对称加密算法、散列算法等密码技术,用于实现认证、加密、签名等安全功能。

  5. 没有合理设置SSL证书有效期,会造成极大的安全威胁。自签名SSL证书为例,自签名SSL证书不受国际标准制约,可以把有效期设置为10年甚至20年。自签名证书长期未更新,仍在使用非常不安全的1024位RSA算法和SHA-1签名算法。超长的有效期和脆弱的加密算法,让黑客拥有足够的时间和算力破解证书的加密密钥,造成严重后果。

  6. CA机构必须重新验证身份信息,确保身份认证信息是最新的,并仍然拥有该域名。

解决办法:证书只能注册1年,可以让Gworg提供5年预定证书。

⑧ 公钥证书的证书

可以为各种功能颁发证书,例如 Web 用户身份验证、Web 服务器身份验证、安全电子邮件(安全/多用途 Internet 邮件扩展 (S/MIME))、Internet 协议安全 (IPSec)、传输层安全 (TLS)以及和代码签名。证书还可以从一个证书颁发机构(CA) 颁发给另一个证书颁发机构,以便创建证书层次结构。
接收证书的实体是证书的“主题”。证书的颁发者和签名者是证书颁发机构。
通常,证书包含以下信息:
主体的公钥值
主体标识符信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识符信息
颁发者的数字签名,用来证实主题的公钥和主题的标识符信息之间绑定关系的有效性
证书只有在指定的期限内才有效;每个证书都包含有效期的起止日期,它们是有效期的界限。一旦到了证书的有效期,到期证书的主题就必须申请一个新的证书。
某些情况下有必要撤消证书中所声明的绑定关系,这时,可以由颁发者吊销该证书。每个颁发者维护一个证书吊销列表,程序可以使用该列表检查任意给定证书的有效性。
证书的主要好处之一是主机不必再为单个主题维护一套密码,这些单个主题进行访问的先决条件的是需要通过身份验证。相反,主机只需在证书颁发者中建立信任。
当主机(如安全 Web 服务器)指派某个颁发者为受信任的根颁发机构时,主机实际上是信任该颁发者过去常用来建立所颁发证书的绑定关系的策略。事实上,主机信任颁发者已经验证了证书主体的身份。主机通过将包含颁发者公钥的颁发者自签名证书放到主机的受信任根证书颁发机构的证书存储区,将该颁发者指定为受信任的根颁发机构。中间的或从属的证书颁发机构受到信任的条件是,他们拥有受信任根证书颁发机构的有效证书路径。
有关证书的详细信息,请参阅理解证书。

⑨ 服务器ssl证书公钥什么时候改变

公钥(Public Key)与私钥(Private Key)是通过公钥算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。
SSL证书公钥是随着SSL证书签发而产生的,一张证书对应一对公私钥,公钥是不会改变的。

⑩ 如何看待SSL证书1年有效期新规

这个规定其实在国内很早就有了,只是国外SSL证书方面最近几年才实行,目的是为了提升安全性,强制更新私钥与公钥,降低安全风险,所以SSL证书1年的规则是符合目前安全环境需求的。

阅读全文

与公钥有效期相关的资料

热点内容
申请商标到哪个部门 浏览:762
购买无形资产的相关税费可以抵扣吗 浏览:982
商标注册被骗怎么办 浏览:160
朗太书体版权 浏览:268
大学无形资产管理制度 浏览:680
马鞍山向山镇党委书记 浏览:934
服务创造价值疏风 浏览:788
工商登记代名协议 浏览:866
2015年基本公共卫生服务项目试卷 浏览:985
创造营陈卓璇 浏览:905
安徽职称计算机证书查询 浏览:680
卫生院公共卫生服务会议记录 浏览:104
泉州文博知识产权 浏览:348
公共卫生服务培训会议小结 浏览:159
马鞍山揽山别院价格 浏览:56
施工索赔有效期 浏览:153
矛盾纠纷交办单 浏览:447
2010年公需课知识产权法基础与实务答案 浏览:391
侵权责任法第5556条 浏览:369
创造者对吉阿赫利直播 浏览:786