Sto cercando di creare una CA per la mia azienda e di rilasciare a ogni dipendente un certificato digitale e una chiave privata. Sono preoccupato per la revoca e la scadenza.
Nel mio caso, il certificato radice di CA viene utilizzato per verificare le identità dei client, l'utente id est deve presentare un certificato valido e una chiave privata per accedere a pagine Web specifiche (Apache VerifyClient require
o Nginx ssl_verify_client on
). Se un utente lascia la società o la sua chiave privata viene compromessa, il certificato viene aggiunto a CRL.
Come possiamo vedere, il CRL crescerà sempre più a lungo man mano che i dipendenti vanno e vengono. Questo non è quello che voglio. Tuttavia, poiché ogni certificato ha una data di scadenza (l'ho impostato su 180 giorni), posso rimuovere i certificati scaduti dal CRL? Ciò può in qualche modo ridurre il problema con il CRL sovradimensionato.
L'articolo di Wikipedia su "CRL" dice che la scadenza non dovrebbe essere usata come una sostituzione della revoca. Penso che stiano parlando dei web browser che verificano i server web, dal momento che il computer di alcuni utenti potrebbe avere un orario non corretto (fidandosi così dei certificati scaduti forniti dai server web). Tuttavia nel mio caso, è il server web che verifica gli utenti, quindi se posso garantire che l'ora sul server web sia corretta, posso rimuovere quei certificati compromessi scaduti da CRL?