Stiamo implementando una soluzione di sicurezza che utilizza i certificati per convalidare i documenti. Questi certificati sono emessi dalla nostra CA autorizzata dal governo.
Che cosa succede se in un lontano futuro, la CA che ci ha fornito i certificati non funziona più? Come viene normalmente affrontato questo tipo di incidente? Come proprietario del certificato, siamo obbligati ad acquistare un altro certificato da un'altra CA? Questo problema è normalmente gestito dalla CA?
I certificati sono di natura transitoria: scadono e devono essere rinnovati. Ancora peggio, la validità di un certificato è di proprietà dell'ora corrente, poiché i certificati possono essere revocati in qualsiasi momento. Pertanto, se si desidera archiviare i documenti firmati e essere in grado di convalidarli in un secondo momento, sono necessari i timestamp. Vedi questa risposta per alcuni dettagli .
Mentre i timestamp proteggono i documenti firmati da una cessazione dell'attività dalla CA, una chiusura brusca sarebbe ancora un problema poiché, cessando di emettere CRL su base regolare, la CA revoca in modo efficace tutti i certificati esistenti (almeno questo è l'effetto dall'esterno). Normalmente, i contratti con CA includono clausole severe sulla continuità delle operazioni; fino a includere disposizioni finanziarie e / o garantire che, anche in caso di fallimento totale dell'attività, il CRL sarà emesso ancora per alcuni anni.
Quando rinnova il tuo certificato, ne stai acquisendo uno nuovo. Nulla ti obbliga a ottenere quel secondo certificato dalla stessa fonte dell'altro. Si può pensare a questi certificati come "il vecchio" e "il nuovo", ma da un punto di vista X.509 sono solo due certificati, che possono riguardare una CA distinta. Dovrai comunque rinnovare i certificati regolarmente, poiché hanno date di scadenza. Una CA fuori sede potrebbe "solo" costringerti a rinnovare prima del previsto.
In alternativa, potresti voler gestire la tua CA, ma sarà molto costoso se vuoi farlo correttamente (una CA seria è una tecnologia del 5%, 95% di persone e procedura).
Sembra che dureranno fino alla scadenza dei certificati (come in, dopo l'arresto della CA)
Citando questo reddit thread
IIRC, If the certs are not in a CRL, they should work until their expiration date regardless of if the CA is online. The CA will continue to function after being p2v'ed so long as the server name doesn't change. IP Address wont matter.
Leggi altre domande sui tag digital-signature public-key-infrastructure certificates certificate-authority