Quando ruotare un certificato TLS client?

2

Qual è il periodo di rotazione consigliato di un certificato TLS / client? Ho visto organizzazioni girare a metà vita e alcune che ruotano solo 30-50 giorni prima della scadenza.

Ad esempio, per un certificato valido per 1 anno, ruoto a 6 mesi o a 11 mesi? C'è qualche raccomandazione a ruotare all'80% della vita di un certificato?

    
posta user5504145 17.08.2018 - 00:09
fonte

1 risposta

3

La quantità di tempo che trascorre prima che una persona decida di rinnovare il certificato ha a che fare con continuità piuttosto che con sicurezza . In breve, dovresti lasciarti abbastanza tempo per ruotare, in base ai "normali" tempi di risposta e quindi aggiungere un po 'più di tempo per il padding. Le persone che ruotano a metà vita lasciano un sacco di padding.

Il certificato è considerato valido e sicuro fino alla sua scadenza o viene revocato. L'avvio del rinnovo non implica che il certificato sia meno valido in alcun modo.

Prendi in considerazione un certificato che scade tra 3 giorni e impiega una settimana per rinnovare. Ci sarà un deficit in cui il vecchio certificato è scaduto, e il nuovo non è ancora in vigore.

Questi tipi di crunch del tempo sono comunemente moltiplicati per inefficienze su entrambi i capi della catena, e in molti casi c'è trauma istituzionale di che una volta qualcuno ha dimenticato e tutto è scoppiato . La loro soluzione? Lascia un buffer più grande e rinnova il certificato più a fondo, con più tempo prima della scadenza "wall".

    
risposta data 17.08.2018 - 03:34
fonte

Leggi altre domande sui tag