Perché non si consiglia di utilizzare la validità permanente del certificato per la chiave pubblica [duplicato]

1

Come sappiamo, non è consigliabile fornire una validità permanente del certificato per la chiave pubblica. Non so perché. Potresti darmi dei motivi?

    
posta user40545 03.02.2016 - 21:57
fonte

1 risposta

1

Per essere precisi, un certificato X.509 ha una data di scadenza non facoltativa, quindi non puoi fare un certificato "permanente" conforme allo standard. Tuttavia, quella data può essere codificata come GeneralizedTime che può codificare gli istanti fino alla fine dell'anno 9999, che è abbastanza lontano in futuro da essere considerato "per sempre".

Si noti che esiste un equivalente binario al problema Y2K, chiamato il problema dell'anno 2038 , quindi un certificato il cui fine -di validità è oltre il 19 gennaio 2038, può incorrere in problemi di interoperabilità. Di solito, i sistemi Windows non hanno alcun problema con tali date (perché usano gli interi a 64 bit per la loro rappresentazione temporale interna), ma l'applicazione che usa vecchie librerie dal mondo Unix (in particolare OpenSSL) e le usa male, potrebbe avere difficoltà nel gestire un tale certificato. Si raccomanda quindi, per ora, di evitare di impostare la data di fine validità oltre il 2037.

Comunque , il motivo ufficiale per avere una data di fine validità è supportare la revoca . Quando un certificato viene revocato, il suo numero di serie viene aggiunto a un elenco chiamato CRL, pubblicato periodicamente dalla CA. Il numero di serie dovrà essere conservato come parte del CRL fino a quando il certificato è "valido" (per quanto riguarda la sua data di fine validità). Pertanto, la fine validità è lì per consentire l'eliminazione delle vecchie voci da CRL; se i certificati fossero permanenti, il CRL crescerebbe indefinitamente, il che potrebbe essere un problema poiché dovrebbero essere generati e scaricati di frequente.

In un mondo ideale, o almeno in un mondo migliore, non useremmo CRL ma OCSP . Una risposta OCSP è come un CRL che parla di un certificato univoco. In un sistema di revoca OCSP puro, i certificati permanenti non sarebbero affatto un problema.

Il motivo meno ufficiale della data di fine validità è che funziona come data di scadenza della tassa di rinnovo. Quando una CA commerciale vende certificati, la CA ama davvero quando i clienti devono tornare a comprare un rinnovo ogni anno.

    
risposta data 03.02.2016 - 22:08
fonte

Leggi altre domande sui tag