In caso di certificato SSL del server, viene emesso da una CA che può quindi richiamarlo fino alla sua scadenza e inoltre, la CA raccoglie in genere una commissione per ogni certificato, quindi è interessata a certificati in scadenza ogni anno.
La mia domanda riguarda i certificati client. Supponiamo di voler effettuare chiamate al servizio API di gestione di Azure. Genero un certificato sul mio computer, lo esporto con una chiave pubblica e poi lo carico in Azure Management Portal. Quindi scrivo un codice che carica lo stesso certificato esportato da un file locale e in qualche modo autentica magicamente la connessione HTTPS. Il servizio API di gestione riceve la richiesta e controlla se il certificato utilizzato è quello giusto.
Il punto è che qui non c'è autorità. Se i miei certificati vengono compromessi, ne creo uno nuovo io stesso e poi vado al portale e aggiungo il nuovo certificato ed elimina quello vecchio. Quindi cambio il mio software client e chiunque abbia copiato il mio certificato precedente è bloccato.
Sembra che sia nel mio interesse generare un certificato che scade il più tardi possibile - qualcosa come 10+ o 50+ anni da oggi.
Perché non dovrei generare un certificato che scade il più tardi possibile in questo scenario?