Qual è la politica delle autorità di certificazione per il periodo di validità dei certificati?

1

Lascia che una CA generi un nuovo certificato X.509 per il web. Mi chiedo delle regole per il periodo di validità:

(Q1) Da cosa dipende il periodo di validità?

(Q2) Dipende dal modello di prezzo (più lungo è il più costoso)?

(Q3) Dipende da restrizioni legali?

(Q4) Tutte le CA assegnano lo stesso periodo di validità o differiscono tra CA?

(Q5) Il soggetto (chi acquista il certificato) influenza il periodo di validità?

    
posta user120513 06.11.2017 - 19:41
fonte

1 risposta

2

WebPKI?!?

NOTA: tutte queste risposte presuppongono che tu stia parlando di CERTIFICATES FOR THE WEB (WebPKI). (Non per la firma del codice, e-mail, ecc.) Per favore fatemi sapere se questo è davvero quello che volevate sapere.

Ora, nel caso NON stavate parlando di WebPKI, potreste voler dare un'occhiata alle "Certification Practice Statementsments" (CPS) della CA.

Esempio: CPS di Digicert elenca i loro periodi di validità qui: link

Q1

Denaro.

Più è lungo, più è costoso. Vedi ad esempio: link (archiviato qui: link )

Q2

Sì. Vedi sopra.

Q3

Non sono sicuro. Io non la penso così

Q4

DV

Sono praticamente tutti vincolati ai REQUISITI DI BASE per il tipo normale di certs, che sono certificati DV (domain validated). - > link

E i BR attualmente definiscono un limite di 3 anni + 3 mesi. (39 mesi)

Ma questo cambierà il prossimo anno. Quindi il limite sarà 2 anni + 3 mesi. (825 giorni per essere precisi.)

Un bel blog su questo cambiamento è qui: link (archiviato qui: link )

EV

Ora per i certificati EV (convalida estesa) le regole sono stabilite qui: link

E hanno questo da dire:

9.4. Maximum Validity Period For EV Certificate
The validity period for an EV Certificate SHALL NOT exceed 825 days. It is RECOMMENDED that EV Subscriber Certificates have a maximum validity period of twelve months.

- Ad essere sinceri, non ho idea di che peso abbia una frase come "È CONSIGLIATO". (Sono sinceramente interessato a qualcuno che si preoccupa di una simile raccomandazione? Ci sono sanzioni leggere, come essere disapprovati o qualcosa del genere? - Per favore lascia un commento se ne sai di più.)

Ma prendi il link Digicert dall'alto: attualmente offrono certificati EV per 2 anni. (Nonostante la raccomandazione.)

Q5

Sì. Paghi di più, ottieni una validità più lunga. (Fino al limite di cui sopra.)

    
risposta data 06.11.2017 - 20:04
fonte

Leggi altre domande sui tag