是否可以使用openssl验证签名,但忽略notAfter到期日期,即notAfter日期是过去的验证是否成功?
用例(简化了很多)是一个嵌入式控制器,其中包含由第三方签名的代码。首次启动该控制器时,它必须在执行代码之前检查代码的签名。
如果在用于签署代码的证书过期后很长时间首次启动控制器,这也必须起作用。 (即几年后从架子上拉出的替换零件)
(签名的验证还将使用CRL,即使证书过期后,CRL也会保留撤销,因此即使在那时也可以检测到被吊销的证书)
答案 0 :(得分:0)
简短的答案是肯定的,因为“验证”证书的代码几乎总是用户代码,openssl只是提供了该代码。
如果以SSL套接字为例:
这并不是真正针对opensl的,但是SSL套接字的每种实现都允许您提供自己的功能来实现服务器(或客户端)证书验证,在此应用程序可以决定是否可以信任证书。
如果没有提供您要尝试做的具体示例,那么所有人都无法给出答案。
此外,证书吊销通常被视为broken,通常不使用。如果您确实使用它,则可能会遇到performance个问题。