Mais que se passe-t-il si mon autorité de certification elle-même expire (autorité de certification racine et autorités de certification ainsi émettrices)?
Littéralement, rien. Expliquons-le un peu plus en détail.
Si la signature n'est pas horodatée, la signature est valide tant que:
- les données ne sont pas falsifiées
- le certificat de signature est valide
- aucun des certificats de la chaîne n'est révoqué
- le certificat racine est approuvé
Une fois le certificat de signature expiré, révoqué ou devenu invalide d'une manière ou d'une autre, la signature est considérée comme non valide. Clair et simple.
Le but des horodatages dans la signature numérique est de fournir une confiance étendue pour le contenu signé. Les certificats de signature sont valides pour une courte période et les paramètres de confiance de base ne conviennent pas à la signature à long terme (peut-être archivée). Normalement (sans horodatage), vous devrez recréer la signature à chaque renouvellement de certificat de signature. C'est un chemin vers nulle part.
En ajoutant un horodatage aux signatures numériques, les conditions d'approbation sont modifiées dans la liste suivante:
- les données ne sont pas falsifiées
- certificat de signature * était * heure valide au moment de la signature: l'heure de signature est dans la validité du certificat de signature
- Aucun des deux certificats n'a été révoqué * avant * la génération de signature
- à la fois, les certificats de signature et d'horodatage se connectent aux autorités de certification racines de confiance (quelle que soit leur validité temporelle, ils doivent simplement être dans le magasin de clés de confiance).
Ce qui a changé ici: la signature reste valide après l'expiration du certificat concerné. Autrement dit, toute la chaîne de signature et les certificats d'horodatage peuvent expirer (avec le certificat racine) et cela ne rompra pas la confiance. Les certificats de la chaîne peuvent être révoqués. La seule exigence: si un certificat est révoqué, l'heure de révocation (obtenue à partir de la liste de révocation de certificats) doit être définie sur une heure après la création de la signature (l'heure de signature est identifiée par un horodatage). La phrase précédente signifie qu'il doit y avoir une liste de révocation de certificats signée pour prouver qu'aucun des certificats n'a été révoqué au moment de la signature.
C'est la raison pour laquelle les systèmes Windows modernes expédient depuis longtemps des certificats racine expirés. Ils sont encore utilisés pour valider les anciennes signatures et qui sont horodatées.
Il y a quelque temps, j'ai écrit un article de blog qui explique le sujet plus en détail: signatures numériques et horodatages