Al momento stiamo cercando di abilitare il blocco della chiave pubblica HTTP sul nostro sito web. Il problema che stiamo affrontando attualmente è che i nostri certificati durano solo 90 giorni, ma abbiamo escogitato i seguenti passaggi per risolvere questo problema:
- Inizialmente avremo quattro certificati emessi (2 RSA e 2 ECC, uno di ciascuno proviene da una CA diversa dall'altra. Chiamerò i CA "A" e "B").
- Ogni tre settimane avremo un nuovo set di certificati RSA ed ECC emessi. La prima volta (tre settimane dopo l'abilitazione dell'intestazione HPKP) questo sarà da CA "A", tre settimane dopo "B", quindi "A" ancora, ecc. Sarà utilizzata solo la coppia di certificati non scaduti più vecchi, ma quelli più recenti sono bloccati per uso futuro.
- Il
max-age
sarà 5184000 secondi o 2 mesi.
Ulteriori informazioni:
- Ancora una volta, a causa del modo in cui sono configurate le nostre CA, i certificati dureranno solo 90 giorni prima della scadenza.
- Non vogliamo imputare i certificati di root o intermediari della CA perché vogliamo utilizzare HPKP per evitare che potenziali dirottatori del nostro dominio o DNS possano emettere rapidamente un nuovo certificato. Se potessimo fare ciò, dovremmo usare DNS CAA in quanto sarebbe molto più semplice nella nostra situazione.
In questo modo, verranno sempre servite almeno due coppie di certificati precedentemente aggiunti, ciascuna proveniente da una CA diversa, secondo le specifiche.
Tuttavia, ad un certo punto avremo 8 certificati aggiunti (2 RSA e 2 ECC da ciascuna delle due CA). Questo è molto più di quanto abbia mai incontrato, quindi le mie domande sono:
I browser possono gestire 8 certificati aggiunti? Qual è il limite (se esiste) alla quantità di certificati che possono essere bloccati?