Per quanto tempo un certificato deve essere valido?

Naviga le tue risposte
6

Vedi titolo. Esistono fonti in cui sono raccomandati i tempi di validità dei certificati (in base alla lunghezza, algo, ecc.)?

Sono particolarmente interessato alla validità dei certificati RSA ...

    
posta eckes 02.03.2012 - 12:27
fonte

2 risposte

3

Ci sono alcune informazioni nel Microsoft blog: 

Key length of 1024:  Validity period = not greater than 6-12 months
Key length of 2048:  Validity period = not greater than 2 years
Key length of 4096:  Validity period = not greater than 16 years

Modifica :) ok, quindi proviamo ancora:

C'è questa raccomandazione dal governo degli Stati Uniti che dice che non dovrebbe essere più lungo di 3 anni. E il periodo di validità dovrebbe essere correlato all'interazione necessaria per "rinnovarlo": più l'interazione umana è necessaria, più lungo è il tempo, fino a 3 anni.

In Brasile, la raccomandazione è: fonte

  • 1024 bit, software generato: 1 anno se memorizzato nel software e 2 anni se in hardware (token)

  • 1024 bit, hardware generato: 3 anni se memorizzato nell'hardware

risposta data 02.03.2012 - 13:25
fonte
6

La data di scadenza per un certificato deve essere impostata sulla data in cui si desidera che il proprietario del certificato torni per un rinnovo. Questa è una questione di compromessi:

  • Ogni operazione di rinnovo comporta un'azione da qualche umano da qualche parte, quindi ha un costo che può essere non trascurabile.
  • Le CA commerciali utilizzano un modello di business che comporta la vendita di certificati e frequenti rinnovi significano più entrate.
  • Scadenza dei certificati ti consente di rimuovere le voci corrispondenti da CRL ( Liste di revoche dei certificati ) in modo da non rendere i certificati attivi molto a lungo.
  • Alcune giurisdizioni impongono intervalli di validità specifici per ragioni che sono spesso oscure e talvolta del tutto irrazionali. Ma la legge è la legge.
  • Non vuoi fare certificati la cui durata si estende oltre la data in cui ritieni che la chiave pubblica possa diventare vulnerabile a causa dei progressi tecnologici.

Esistono varie "stime" per "forza chiave" a seconda della sua lunghezza, e a volte vengono fornite raccomandazioni di durata chiave. Questo tipo di lavoro se il 10% di scienza, il 90% di "congetture istruite", che è una specie di divinazione. Vedi questo sito per molti dati. In particolare, il NIST dice che una chiave RSA a 2048 bit dovrebbe andare bene almeno fino al 2030. Ma la differenza tra una "chiave forse crackabile" e una "chiave forse non crackabile" è molto confusa, quindi non aspettatevi dati qui.

In pratica, la forza chiave supera di gran lunga le effettive vite del certificato. Le durate tipiche per i certificati di entità finali variano da uno a tre anni; fare da cinque a dieci anni per la CA intermedia. Per una CA radice, fallo scadere nel 2037 (ovvero il più lontano possibile in futuro, ma senza attraversare il fatidico problema Y2038 ).

    
risposta data 12.08.2013 - 22:58
fonte

Leggi altre domande sui tag

Soluzioni alternative per: ricognizione Storia CSS visitata Do OpenPGP / GnuPG applica l'hash lento alla password durante la cifratura / decodifica della chiave?