Un certificato deve essere rinnovato perché ha una data di scadenza. Quando il certificato è scaduto, i clienti si rifiuteranno di usarlo più (nel contesto del Web, i browser mostrano un avviso spaventoso in quella situazione).
Quindi la domanda è: perché c'è una data di scadenza nel certificato? In teoria, questo è un modo per mantenere piccoli gli elenchi di revoca. Una lista di revoca dei certificati (CRL) designa tutti i certificati emessi da una determinata CA e che deve non essere usato più, anche se "sembrano OK". La revoca è l'atto di "annullare" un certificato. Ad esempio, se una chiave privata viene compromessa (rubata), il legittimo proprietario della chiave informa la CA, che quindi revoca il certificato includendolo nel suo CRL periodicamente pubblicato - in modo che i client smettano di accettare il certificato corrispondente. Per costruzione, un CRL può solo crescere (come i non-messia, i certificati muoiono e quindi rimanere morti), quindi è stato progettato un trucco: i certificati scaduti non devono essere inclusi in un CRL (se un certificato è scaduto, i client non lo useranno - non hanno bisogno di sapere se è stato anche revocato). Ciò mantiene sotto controllo le dimensioni del CRL, poiché le vecchie voci vengono così rimosse.
Questa è la teoria delle date di scadenza. Per quanto riguarda la pratica, Peter Gutmann offre la seguente spiegazione alternativa nella sua guida di stile X.509 :
This field denotes the time at which you have to pay your CA a renewal fee to get the certificate reissued.
Una terza spiegazione è che il rinnovo consente alla CA di migrare le cose. Per esempio. l'URL al quale il CRL può essere scaricato è scritto nei certificati stessi; se i certificati non sono mai scaduti, quell'URL dovrebbe essere eterno - e l'eternità è un po 'lunga, per un business.
Quale spiegazione scegli in cui credere, dipende da te.
Per quanto riguarda i dettagli dell'operazione di rinnovo, dipendono realmente dalla CA. Non vi è alcuna impossibilità concettuale per la CA di costruire un nuovo certificato identico a quello vecchio, fatta eccezione per la data di scadenza, firmarlo e inviarlo a voi. Questo non richiede nemmeno alcuna azione da parte tua. Tuttavia, alcuni CA vorranno di più da te, forse anche la generazione di una nuova coppia di chiavi (come hai fatto quando hai ottenuto il primo certificato). La CA potrebbe richiedere una chiave più lunga, se hanno una politica severa sulle lunghezze delle chiavi e la vecchia chiave non è più conforme a tale politica. In teoria, non è compito di CA imporre lunghezze minime delle chiavi (i client dovrebbero prendere questa decisione in base alle singole istanze), ma in pratica la CA fa impone tipi e lunghezze chiave. La CA potrebbe anche richiedere una nuova generazione di chiavi nel caso in cui non si preoccupassero di implementare una specifica operazione di rinnovo.