RFC 5280, Sezione 4.1.2.5 ("Validità") risponde tecnicamente alla tua domanda esattamente.
In breve, un certificato con una data di scadenza di 99991231235959Z (23:59 GMT del 31 dicembre 9999) soddisfa i tuoi requisiti esatti, ma RFC 5280 richiede anche che tu debba essere in grado di revocare quel certificato per rompere il percorso di certificazione (cioè revocando il certificato) prima di questa data.
Anche la data di scadenza è considerata come una data in cui l'utente dovrebbe verificare se le misure tecniche in vigore soddisfano ancora gli standard attuali (ad esempio se devono passare dal modulo lungo 1024 bit al modulo lungo 2048 bit o aggiornare il proprio server da DES a AES).
Per lo stesso motivo, le AC commerciali accettano di non emettere certificati per più di 3 anni nel futuro e richiedono nomi DNS pubblicamente risolvibili nello spazio pubblico IP; molto probabilmente, entrambi questi requisiti sono bloccanti per te.
Quindi alla fine ci sono solo due opzioni:
-
diventa la tua CA root e rilascia automaticamente tali certificati.
Una politica per emettere certificati "per sempre" non soddisfa le considerazioni sulla sicurezza dei fornitori di browser e sistemi operativi, quindi in definitiva ciò richiederà agli utenti di importare manualmente la CA principale. Consigliare agli utenti di fidarsi della CA principale è un'operazione delicata e potrebbe non trovare una buona accettazione tra i propri utenti. La CA potrebbe utilizzare restrizioni di nome x509 (quindi i certificati emessi sono validi solo per alcuni domini o subnet IP), ma tutti coloro che hanno una certa sicurezza in mente continueranno a chiedersi se è una buona idea andare in quella direzione. In breve: questo può diventare molto complesso, complicato e rischioso - non farlo.
-
in fase di fabbricazione o "ripristino delle impostazioni di fabbrica", genera una singola chiave privata su e / o per ogni dispositivo e emette un certificato autofirmato con una data di scadenza, ad es. 10 anni nel futuro (o la data speciale di cui sopra). La documentazione deve chiedere agli utenti di rimuovere i certificati precedentemente installati dopo "ripristinare le impostazioni di fabbrica" e di importare quel certificato specifico per evitare l'avvertimento del browser. Karma extra per spiegare all'utente perché questo deve essere fatto:)
Fai attenzione quando usi la data "per sempre", il certificato potrebbe comunque diventare "meno sicuro" o "non valido". Ad esempio, i browser e i sistemi operativi dettano un keylength minimo o algoritmi (interrotti) per rifiutare e aggiornare tali requisiti di conseguenza. Al momento, i 1024 bit possono "funzionare", ma i browser iniziano a visualizzare le connessioni utilizzando meno 2048 bit per essere "non sicuro" o "non valido". E gli algoritmi si interrompono anche al punto in cui i browser non si fidano più di loro. Se il tuo certificato autofirmato fa uso di questo, dovrai aggiornarlo di conseguenza.