Qual è il periodo di rotazione consigliato di un certificato TLS / client? Ho visto organizzazioni girare a metà vita e alcune che ruotano solo 30-50 giorni prima della scadenza.
Ad esempio, per un certificato valido per 1 anno, ruoto a 6 mesi o a 11 mesi? C'è qualche raccomandazione a ruotare all'80% della vita di un certificato?
La quantità di tempo che trascorre prima che una persona decida di rinnovare il certificato ha a che fare con continuità piuttosto che con sicurezza . In breve, dovresti lasciarti abbastanza tempo per ruotare, in base ai "normali" tempi di risposta e quindi aggiungere un po 'più di tempo per il padding. Le persone che ruotano a metà vita lasciano un sacco di padding.
Il certificato è considerato valido e sicuro fino alla sua scadenza o viene revocato. L'avvio del rinnovo non implica che il certificato sia meno valido in alcun modo.
Prendi in considerazione un certificato che scade tra 3 giorni e impiega una settimana per rinnovare. Ci sarà un deficit in cui il vecchio certificato è scaduto, e il nuovo non è ancora in vigore.
Questi tipi di crunch del tempo sono comunemente moltiplicati per inefficienze su entrambi i capi della catena, e in molti casi c'è trauma istituzionale di che una volta qualcuno ha dimenticato e tutto è scoppiato . La loro soluzione? Lascia un buffer più grande e rinnova il certificato più a fondo, con più tempo prima della scadenza "wall".
Leggi altre domande sui tag certificates certificate-authority