Sto creando un'autorità di certificazione per una rete a tre livelli catena.
- livello 1
- livello 2
- livello 3
- leaf certs.
Mi chiedo quali siano i tempi di scadenza appropriati per ogni certificato della catena. Gestirò i certs con qualcosa come chef / salt e fornirò anche la compatibilità con ACME, quindi possiamo presumere che la logistica di aggiornamento dei certificati non sia un problema.
Desidero aggiornare frequentemente i certificati per impedire a qualcuno di espandere in modo incrementale la superficie di attacco. Voglio anche continuare a maneggiare la chiave privata (macchina Linux offline, flashdrive codificato in una cassastrong) al minimo perché non riesco davvero a far rispettare il modo in cui le persone lo gestiscono in caso di necessità.
Ecco il mio primo tentativo di scadere:
- Livello 1: scade il 2037
- Livello 2: scade ogni 3 anni
- Livello 3: scade ogni 1 anno
- Leaf Cert: scade ogni 3 mesi