Background: ho il mio certificato autorevole che mi sono generato per firmare i certificati per i servizi che io e i miei amici utilizziamo, inclusi server web, ircd, ecc. È comodo perché non devo spendere soldi per far firmare il mio certificato e tra chi lo usa, la garanzia di sicurezza è abbastanza completa.
Caveat: essendo un po 'più noioso di quanto non lo fossi adesso, ho deciso che la CA scadrà dopo un anno. Questo era circa 10 mesi fa. La chiave privata è RSA a 4096 bit e il certificato è autofirmato con SHA512, quindi dovrebbe rimanere sicuro per quasi tutto il tempo che mi interessa, a patto che non perda la chiave privata.
Domanda: so che posso generare un nuovo certificato dalla chiave privata con una data di scadenza più lunga (diciamo tra 100 anni per gli scopi di questa discussione). La sostituzione sarebbe un processo semplice come la sostituzione del certificato esteso di nuova generazione a tutti i client? Accetterebbero i certificati secondari come affidabili, a condizione che abbiano aggiornato le loro copie memorizzate della CA per riflettere la nuova data di scadenza? Sarei in grado di saltare la rigenerazione di tutti i certificati intermedi finché la coppia di chiavi e le impronte digitali della CA sono rimaste le stesse?