openssl：验证签名但忽略到期日期[重复]

Question

是否可以使用 openssl 验证签名，但忽略 notAfter 到期日期，即即使 notAfter 日期已过去，验证是否成功？

用例 - 简化了很多 - 是一个包含由第三方签名的代码的嵌入式控制器。当这个控制器第一次上电时，它必须在执行之前检查代码的签名。

如果控制器在用于签署代码的证书过期很长时间后首次通电，这也必须有效。 （即几年后从货架上取下的替换零件）

（签名的验证也将使用 CRL，即使在证书过期后也会保持撤销，因此即使在那时也可以检测到已撤销的证书）

Answer 1

简短的回答是肯定的，因为“验证”证书的代码几乎总是用户代码，openssl 只是提供 .

如果以 SSL Socket 为例：

这并不是真正的 openssl 特定的，但 SSL 套接字的每个实现都允许您提供自己的函数来实现服务器（或客户端）证书验证，应用程序可以决定证书是否可信。

如果你没有提供一个具体的例子来说明你正在尝试做什么，那么任何人都无法给出更多的答案。

此外，证书吊销通常被视为broken，通常不使用。如果您确实使用它，您可能会遇到performance 问题。