¿Por qué los certificados de corta duración son tan raros?

5

Vamos a cifrar la versión beta que queda recientemente y limita la vida útil máxima de los certificados a 90 días y recomienda 60 días .

Ahora, cada vez que comienzo a hablar sobre los problemas de revocación de certificados (por ejemplo, los fallos de software de OCSP) escucho: "los certificados de corta duración son probablemente la mejor solución".

Entonces, mi pregunta es:
¿Por qué los certificados de corta duración son una tendencia relativamente reciente y no han sido implementados en las tres décadas anteriores por las grandes AC?

Tenga en cuenta que, en teoría, lo mejor para las autoridades de California es implementar esto, ya que en realidad podrían salvar los servidores OCSP con gran carga y ganar suficiente dinero a través de certificados para desarrollar una herramienta robusta de renovación automática de certificados.

    
pregunta SEJPM 19.04.2016 - 22:03
fuente

1 respuesta

5

Sería un enorme costo operacional en entornos que no cuentan con la gestión automatizada de certificados, lo que, en realidad, es la gran mayoría de los entornos operativos en el mundo actual. De hecho, en la mayoría de los entornos, poco o nada está automatizado. En los últimos años, hemos empezado a ver a la gente hundir los dedos de los pies en esas aguas, y la mayoría de las organizaciones tradicionales solo en el último año o dos.

Entonces, cuando realizar una modificación en el servidor (como reemplazar un certificado) requiere una orden de compra, un despliegue manual por parte de un administrador del servidor y un proceso de administración de cambios de 4 a 6 semanas, y eso se multiplica por, digamos, 10,000 veces para Una organización moderadamente grande, de corta duración, pasa de ser un desafío a una imposibilidad.

Ciertamente, hay organizaciones (como Google, por ejemplo) que tienen esto establecido, al menos en sus propiedades públicas (no sé si sus sistemas empresariales reciben la misma atención) y comenzará a invadir la corriente principal con herramientas como el cliente ACME de Let's Encrypt. Pero eso no ha existido por mucho tiempo, y no había nada más por ahí antes de que esto fuera fácil para una organización que no es sofisticada de implementar. Agregue eso al hecho de que las certificaciones falsas o robadas no han sido un problema muy extendido o costoso con el que las organizaciones han tenido que luchar, y realmente no había ningún incentivo para invertir en una solución. La respuesta real es hacer que los certificados de corta duración sean más baratos y fáciles de administrar que los certificados de larga duración. Ahí es cuando despegarán, y por qué Let's Encrypt tiene una gran promesa en esta área.

    
respondido por el Xander 19.04.2016 - 22:16
fuente

Lea otras preguntas en las etiquetas