Quali sono i vantaggi (se esistono) di cambiare frequentemente i certificati TLS?

Il rinnovo del certificato non ha alcun vantaggio , tranne se lo si utilizza come sostituto della revoca. Normalmente, un certificato viene rilasciato dalla CA per un certo periodo di tempo (ad esempio, uno o due anni ); per far fronte a condizioni anormali (ad esempio la chiave privata è stata rubata), la CA pubblicherà regolarmente un elenco di "certificati revocati". Un certificato revocato che ha un bell'aspetto crittografico (è firmato correttamente e tutto), ma deve comunque essere rifiutato perché lo dice la CA. Il controllo dello stato di revoca comporta il download del CRL corrente, la verifica della sua firma e il controllo del contenuto; questo è ingombrante e ingombrante, e molti client SSL (per esempio i browser Web) sono tentati non per scaricare CRL. Se i certificati hanno una durata molto breve, non è possibile tollerare il controllo dello stato di revoca: la CA, presumibilmente, non rinnoverà un certificato che considererebbe come revocato.

Questo è un caso limite. Di solito, si considera che il sovraccarico del rinnovo dei certificati ogni settimana superi il costo della pubblicazione e dell'elaborazione di un nuovo CRL ogni settimana.

Il rinnovo della chiave privata può avere vantaggi . Ricorda che il certificato contiene solo la chiave pubblica, quindi "rinnovare il certificato" non implica necessariamente la modifica delle chiavi private e pubbliche; la CA potrebbe semplicemente prendere il certificato esistente, modificare le date di validità e rassegnarlo. Ma se la chiave privata viene cambiata, allora anche la chiave pubblica; cambiare la chiave privata implica quindi ottenere un nuovo certificato.

L'utilizzo di una nuova chiave privata può aiutare a ottenere una forma ridotta di Perfect Forward Secrecy . Il problema che vogliamo affrontare è la possibilità di furto della chiave privata del server dopo la chiave è stata utilizzata. Se l'utente malintenzionato registra una sessione TLS, quindi, in un secondo momento, ruba la chiave privata, quindi può decrittografare la sessione che ha precedentemente registrato.

Il rinnovo della chiave privata ti garantirà PFS nella misura in cui la chiave precedente viene distrutta; non è l'ottenimento della nuova chiave che garantisce PFS, ma la cancellazione di quella precedente. Presumibilmente, una volta eliminata, la vecchia chiave non può più essere rubata . Questo deve essere preso con un pizzico di sale, però: durante la settimana in cui la chiave privata era attiva, è stata memorizzata su un supporto fisico (il disco rigido), e davvero eliminare i dati dai supporti fisici è complicato. Potrebbe anche essere stato copiato su alcuni nastri di backup o qualcosa di simile.

SSL / TLS ha un modo migliore per ottenere PFS . Ottieni PFS usando una delle suite di crittografia "DHE". Con queste suite di crittografia, la chiave privata del server (quella corrispondente al certificato del server) viene utilizzata solo per le firme; la chiave effettiva per la crittografia (precisamente, per lo scambio di chiavi) è una coppia di chiavi DH generate dinamicamente, che il server non memorizza mai; il server mantiene la chiave privata solo nella RAM, per alcuni secondi. Poiché la chiave non viene mai scritta su un file, è molto meno suscettibile di ulteriore furto.

La chiave simmetrica non ha nulla a che fare con PFS . In SSL / TLS, sempre ottieni una nuova chiave simmetrica da ogni handshake: client e server inviano valori casuali tra loro e questi valori entrano nel calcolo delle chiavi di crittografia simmetriche. PFS non si tratta di usare una nuova chiave simmetrica; si tratta di non memorizzare la chiave privata asimmetrica che consentirebbe la ricostruzione della chiave simmetrica (la chiave privata DH per una suite di crittografia DHE, la chiave privata RSA per una suite di crittografia RSA).

Per un primer su come funziona SSL, leggi questa risposta .