Quando dovrei rinnovare l'autorità di certificazione?

Question

Quando dovrei rinnovare l'autorità di certificazione?

#1 da (2 voti)
#2 da (1 voti)
#3 da (0 voti)

4

Qual è la migliore pratica nel rinnovare le autorità di certificazione? Voglio dire quando dovrei rinnovare l'autorità di certificazione?

Ad esempio, supponiamo di avere la seguente configurazione: 1. CA radice con validità di 30 anni 2. Sub CA con validità di 20 anni emessa dalla CA principale

Quando si rinnova il certificato di Sub CA dopo 20 anni, non può avere altri 20 anni perché il certificato della CA radice scadrà prima, quindi in tal caso la nuova CA secondaria avrà una validità di 10 anni.

O dovrei rinnovare la CA principale 10 anni prima di scadere il vecchio certificato e iniziare a rilasciare i certificati da questa nuova CA principale?

Oppure un altro approccio può essere quello di emettere una nuova CA secondaria 10 anni prima della sua scadenza e iniziare a rilasciare certificati di entità finale dalla nuova CA secondaria dopo.

Mi piacerebbe avere una visione più profonda delle regole come sono gestite tali situazioni nella vita reale. Cosa dovrei cercare per gestire correttamente le autorità di certificazione e rinnovare il certificato in tempo?

MODIFICA per comprendere meglio:

Come gestiresti il rinnovo dell'autorità di certificazione con validità di 5 anni e l'emissione di certificati di entità finale con validità 3 anni?

Che cosa faresti e quando fare per rendere trasparente il processo agli utenti finali?

certificates certificate-authority certification

posta user1563721 22.02.2016 - 21:00

fonte

3 risposte

Leggi altre domande sui tag certificates certificate-authority certification

Dovrei preoccuparmi dell'avviso anti-XSS di NoScripts quando effettui un pagamento 3DSecure? Memorizzazione di chiavi su dispositivi incorporati

score 2 · Answer 1

Penso che la cosa più importante da considerare sia la durata della CA Root.

Perché abbiamo una CA root? Perché ci fidiamo della CA radice e vogliamo fidarci delle cose firmate da detta CA radice.

Perché abbiamo una CA secondaria? Perché non vogliamo utilizzare la CA radice ogni volta che vogliamo firmare qualcosa (perché è più sicuro inserire la chiave privata nella cella frigorifera) . Quindi firmiamo una CA secondaria (o intermedia) a una vita più breve, quindi abbiamo un Cert affidabile che possiamo usare per firmare, ma non è altrettanto duraturo nel caso in cui sia compromesso.

Perché crediamo che la CA di root? Perché siamo tutti d'accordo nel confidare in essa.

Quindi, la vera domanda è quanto spesso vuoi chiedere alle persone di fidarsi di un nuovo CERT Root? Più lunga è la durata della vita, più pericoloso è se compromesso. Più breve è la durata della vita, più spesso devi chiedere alle persone di fidarsi di un certificato di riferimento.

Un certificato di root non può avere una scadenza estesa.

score 1 · Answer 2

Non esiste alcun concetto di rinnovo della CA principale (o rinnovo del certificato per ciò che conta), tranne che nel significato commerciale. Ogni certificato è nuovo, che può o non può riutilizzare le stesse chiavi private / pubbliche.

Quando la CA principale è quasi scaduta, dovresti crearne una nuova e fare in modo che il processo sia incluso in qualsiasi portachiavi CA principale su cui fai affidamento.

Se si stanno emettendo certificati per i client, è necessario assicurarsi di avere un ciclo adeguato di rinnovo e iniziare a rilasciare dalla nuova catena CA quando il periodo di validità del certificato cliente supererebbe la durata della vecchia CA radice.

Se il certificato CA radice viene inserito nel tempo nei repository certificati nel tempo, la transizione sarà trasparente.

score 0 · Answer 3

Lo standard PKI rilevante per RFC5280 applica il modello di shell per la convalida del certificato, il che significa che qualsiasi firma (e quindi certificato) deve essere valida, anche qualsiasi certificato nella catena del firmatario deve essere valido.

Ciò significa che, dopo 20 anni, la nuova CA secondaria non deve essere valida per più di 10 anni e qualsiasi certificato di entità finale firmato da questo non deve avere una data non successiva alla data di scadenza della radice o dei subCA.

Per facilitare la transizione a un nuovo certificato subCA o root (che utilizzerà una nuova coppia di chiavi), è buona pratica creare un certificato incrociato . Questo è un certificato con le stesse voci del vecchio ma firmato da quello nuovo. Supponiamo che tu crei un nuovo certificato di origine. Di quanto si creerebbe un certificato intermedio contenente la chiave pubblica e l'oggetto (e le estensioni) del vecchio certificato radice firmato da quello nuovo. In questo modo, tutti i vecchi certificati possono essere validati con successo da una delle due radici utilizzate come ancoraggio affidabile. Se esegui questa procedura con largo anticipo (~ 1-2 anni), avrai tempo sufficiente per distribuire la tua nuova radice a tutti i prodotti software e le macchine necessarie senza creare interruzioni agli utenti.