為確保各方面信息的準確,證書的初始申請過程是非常複雜的,需要檢查很多信息。此外,數字證書都有有效期的限制,那么訂戶在數字證書即將過期的時候就需要一份新的證書。如果此時重新完成一次初始申請時的申請過程,訂戶需要重新收集自己的各種信息,CA也同樣需要重複勞動來審核。這在大多數情況下看來顯然不是一個很明智的方法。因此,一種安全快捷的方式就應該在合適的情況下,儘可能的省略一些流程,儘可能的復用已有的信息,使得CA能夠儘快地簽發新的證書。這種正常狀態下僅僅更換有效期或更換密鑰的過程就是證書更新。我們在此節中介紹證書更新適用範圍以及能夠省略的操作流程。
證書更新的初衷是使PKI用戶無間歇地持續使用PKI服務。因此,證書訂戶應當在證書到期之前向CA提出證書更新請求,比如在到期前的一個月或者一周就提出更新請求,以便CA在訂戶證書失效前為其更新。新證書的生效日期一般早於舊證書的失效日期,而新證書的失效日期將相應的延後。
證書的更新操作一般有哪些步驟呢?證書的更新必然需要CA簽發一份新的證書,但是此時的審核簽發過程和訂戶第一次申請時是不同的。在需要更新時,證書訂戶已經在初始申請時經過了CA的各項審核,此時證書訂戶的目的僅是希望獲得一個失效期更晚的證書來繼續享受PKI系統的服務,那么CA完全可以不對此證書訂戶的身份信息進行審核。CA此時需要生成的新證書的主要內容跟現有證書相比基本一樣,甚至沿用現有的公鑰,不同之處僅僅在於序列號以及生效和失效日期。而證書第一次的產生操作中,由於對申請人認知的空白,需要申請人通過各種形式提供所需的身份證明材料,且提供能夠進行POP檢查的公鑰,再經過嚴格審查才能提供相應級別的證書。可見,證書的更新操作和證書的初始產生操作最大的不同就在於審核過程。
訂戶要進行證書的更新操作,需要滿足以下條件:
1)訂戶現持有一份尚且有效的證書。
2)該證書綁定的公鑰所對應的私鑰不存在泄露等安全問題。
3)更新請求僅是要求延後失效日期或更換一對密鑰。
CA在收到了滿足以上條件的訂戶證書更新請求時,可以進行非常簡化的審核過程(或者完全省掉審核),直接利用原有證書的各項內容,僅需修改生效日期和失效日期,然後CA簽名發布即可。
除了延長臨近到期的證書的有效期之外,在其它情況下訂戶也可能會向CA提出證書的更新以變更自己的公私密鑰對。需要注意的是,這樣的變更請求不能是因為舊證書綁定的公鑰所對應的私鑰泄露或者疑似泄露等安全原因。
訂戶在更新時要求更換密鑰一般是以下幾種情況。
比如,訂戶本身對密鑰定期更新有自己的要求(與CA公司無關),那么在密鑰達到更新期時,哪怕CA頒發的證書仍然有效且沒有任何其它異常,訂戶也會向CA提供新的公鑰,要求更新證書。當然,CA公司如果對密鑰也有類似的定期更換要求,到達更換期時,CA公司也會為訂戶更新證書。此外,如果研究發現某種長度的密鑰或者某種加密算法不再安全,訂戶證書恰好使用這類算法,那么訂戶也可提出證書的更新要求。注意,當更新操作涉及到密鑰的變更時,必須重新進行POP檢查。
CA不應接受其它形式的證書更新請求。比如,訂戶可能要求更改數字證書中的某些個人信息。主要原因就是這樣的變更請求直接牽涉到CA在對該訂戶第一次請求證書時的審核。訂戶初始申請時,CA是以原始材料中的信息進行審核和批准。但現在訂戶要求修改的內容改變了原始材料中的某項,而此時修改後的結果如果放到最初的申請審核時,可能造成第一次申請材料的審核不能通過。又如,訂戶要求更新證書使得新證書具有更高的安全等級。因為CA是根據最初的申請材料和CPS來決定頒發某種安全等級的證書的,所以要求改變安全等級之類的更新請求也完全不符合更新的基本前提和目的。
在此對上述個人信息項更新的問題進行補充說明。數字證書里的個人信息部分,從標準上來說是有必須檢查和無需檢查之分的。所以如果訂戶在更新請求中要求修改的個人信息部分屬於無需檢查的部分,那么從原則上來說CA可以接受這類更新請求。但是實際中,無需檢查的部分基本很少被CA所採用,也就是說絕大多數情況下都為空。
此外,有的證書訂戶在簽名私鑰被銷毀後(如存放私鑰的USB KEY設備遭到物理損壞)也會請求CA公司進行證書更新。由於訂戶此時沒有了私鑰(也沒有機構能恢復私鑰),CA無法通過線上的技術手段來鑑別訂戶的身份,無法確知這個更新請求是否由該訂戶所發出,因此CA無法線上地接受更新請求。但訂戶可通過帶外方式向CA證明自己的身份,比如到CA公司出示身份證、USB KEY等。通過帶外的方式鑑別了訂戶的身份和更新請求後,CA就可按照證書更新的流程為訂戶簽發新證書。
鑒於證書更新操作的嚴格要求和實際中可能出現的多樣的更新請求,我們不妨對證書的更新概念進行適當擴展和提煉。我們可如此定義證書的更新:在訂戶的數字證書的更新請求中,如訂戶提出的期望更新的項目完全不違背該訂戶最初接受審核時所有涉及到審核方面的情形,那么CA可以簡化或者省略此次審核過程,進入更新操作流程,快速地簽發新證書,達到更新目的。
更新操作並不是PKI技術方面的必然需要,僅是為了在某些情況下縮減審核操作。有的CA公司在其CPS里規定,不支持任何更新操作,也就是說任何要求更新證書的請求都需要申請者重新提交申請材料,CA重新進行完整地審核才能簽發新的證書。這樣的規定可能是因為某些在此方面有特別要求的情況,或者CA公司希望通過這樣的CPS來顯示自己有非常嚴格的管理機制。
