Come si prepara la fine dell'attività alla Certificate Authority?

5

Stiamo implementando una soluzione di sicurezza che utilizza i certificati per convalidare i documenti. Questi certificati sono emessi dalla nostra CA autorizzata dal governo.

Che cosa succede se in un lontano futuro, la CA che ci ha fornito i certificati non funziona più? Come viene normalmente affrontato questo tipo di incidente? Come proprietario del certificato, siamo obbligati ad acquistare un altro certificato da un'altra CA? Questo problema è normalmente gestito dalla CA?

    
posta Kl0b 13.07.2015 - 22:10
fonte

2 risposte

2

I certificati sono di natura transitoria: scadono e devono essere rinnovati. Ancora peggio, la validità di un certificato è di proprietà dell'ora corrente, poiché i certificati possono essere revocati in qualsiasi momento. Pertanto, se si desidera archiviare i documenti firmati e essere in grado di convalidarli in un secondo momento, sono necessari i timestamp. Vedi questa risposta per alcuni dettagli .

Mentre i timestamp proteggono i documenti firmati da una cessazione dell'attività dalla CA, una chiusura brusca sarebbe ancora un problema poiché, cessando di emettere CRL su base regolare, la CA revoca in modo efficace tutti i certificati esistenti (almeno questo è l'effetto dall'esterno). Normalmente, i contratti con CA includono clausole severe sulla continuità delle operazioni; fino a includere disposizioni finanziarie e / o garantire che, anche in caso di fallimento totale dell'attività, il CRL sarà emesso ancora per alcuni anni.

Quando rinnova il tuo certificato, ne stai acquisendo uno nuovo. Nulla ti obbliga a ottenere quel secondo certificato dalla stessa fonte dell'altro. Si può pensare a questi certificati come "il vecchio" e "il nuovo", ma da un punto di vista X.509 sono solo due certificati, che possono riguardare una CA distinta. Dovrai comunque rinnovare i certificati regolarmente, poiché hanno date di scadenza. Una CA fuori sede potrebbe "solo" costringerti a rinnovare prima del previsto.

In alternativa, potresti voler gestire la tua CA, ma sarà molto costoso se vuoi farlo correttamente (una CA seria è una tecnologia del 5%, 95% di persone e procedura).

    
risposta data 14.07.2015 - 00:26
fonte
0

Sembra che dureranno fino alla scadenza dei certificati (come in, dopo l'arresto della CA)

Citando questo reddit thread

IIRC, If the certs are not in a CRL, they should work until their expiration date regardless of if the CA is online. The CA will continue to function after being p2v'ed so long as the server name doesn't change. IP Address wont matter.

    
risposta data 14.07.2015 - 00:24
fonte