Sto progettando una PKI AD-CS a due livelli e, quando si tratta della CA radice, non riesco a comprendere il periodo di validità del CRL che viene utilizzato per convalidare le CA secondarie dalle entità finali.
La documentazione sembra raccomandare 3 mesi, 6 mesi o 1 anno, ma quello che non capisco è, perché non più?
Sto pianificando su 5yr certs per le sub-CA in modo che vengano rinnovate a 2,5 anni, dopo il ciclo di semi-vita. Perché allora dovrei impostare il CRL dal Root per essere inferiore a quello e causare solo un sovraccarico amministrativo per accendere il Root ogni pochi mesi per aggiornare il CRL?
Sto pensando a cosa viene effettivamente utilizzato da un CRL e capisco che più lungo è il periodo di validità di un CRL, più a lungo rimane nella cache di un client. Ma sto anche pensando alle circostanze che potrei effettivamente revocare un certificato di sub-CA, cioè un compromesso chiave.
Quindi dovrei davvero aspettare diversi mesi o persino un anno affinché le entità finali aggiornino il loro CRL memorizzato nella cache con il più recente che conterrà il certificato CA revocato e solo allora smetteranno di fidarsi e utilizzeranno i certificati emessi dal CA compromessa?
Sicuramente verranno intraprese misure immediate di riparazione? Il revoca della CA sarà il primo passo, ma poi avrò una nuova CA secondaria, creerò una nuova coppia di chiavi e inizierò a rilasciare nuovi certificati a tutte le entità, aggiungendo la CA compromessa al loro negozio non sicuro, svuotando manualmente la loro cache CRL e costringendoli a ottenere quello nuovo.
Sembra che la routine per portare online il Root CA ogni pochi mesi sia solo una cerimonia inutile perché quando arriva il momento critico, la validità del CRL sarà inutile. Non avrebbe più senso solo portare il Root online a emettere un nuovo CRL se la sub-CA ha bisogno di essere revocata?