¿Cómo me preparo para el fin del negocio de Certificate Authority?

5

Estamos implementando una solución de seguridad que utiliza certificados para validar documentos. Estos certificados son emitidos por nuestro CA autorizado por el gobierno.

¿Y si en un futuro lejano, la CA que nos proporcionó los certificados ya no funciona? ¿Cómo se trata este tipo de incidente normalmente? Como propietario de un certificado, ¿estamos obligados a comprar otro certificado de otra CA? ¿Este problema es normalmente manejado por la CA?

    
pregunta Kl0b 13.07.2015 - 22:10
fuente

2 respuestas

2

Los certificados son de naturaleza transitoria: caducan y deben renovarse. Peor aún, la validez de un certificado es propiedad de la hora actual, ya que los certificados se pueden revocar en cualquier momento. Por lo tanto, si desea almacenar documentos firmados y poder validarlos en una fecha posterior, entonces necesita sellos de tiempo. Consulte esta respuesta para obtener algunos detalles .

Mientras que las marcas de tiempo protegen sus documentos firmados contra un cese de actividad de la CA, un cierre abrupto aún sería un problema ya que, al dejar de emitir CRL regularmente, la CA revoca efectivamente todos los certificados existentes (al menos eso es El efecto desde el exterior). Normalmente, los contratos con CA incluyen cláusulas estrictas sobre la continuidad de las operaciones; hasta que se incluyan disposiciones financieras y / o para garantizar que incluso en caso de un fracaso total del negocio, la CRL seguirá emitiéndose durante algunos años.

Cuando renueva su certificado, está adquiriendo uno nuevo. Nada te obliga a obtener ese segundo certificado de la misma fuente que el otro. Puede pensar en estos certificados como "el antiguo" y "el nuevo", pero desde el punto de vista de X.509 son solo dos certificados, que pueden estar relacionados con distintas CA. De todos modos, tendrá que renovar los certificados regularmente, ya que tienen fechas de vencimiento. Una CA fuera del negocio puede "simplemente" obligarlo a renovar antes de lo esperado.

Como alternativa, es posible que desee operar su propia CA, pero será muy costoso si desea hacerlo correctamente (una CA grave es 5% tecnología, 95% personas y procedimiento).

    
respondido por el Tom Leek 14.07.2015 - 00:26
fuente
0

Parece que durarán hasta la expiración de los certificados (como en, pasado el cierre de la CA)

Cotización de este hilo reddit

  

IIRC, si los certificados no están en una CRL, deben trabajar hasta su fecha de vencimiento, independientemente de si la AC está en línea.   La CA continuará funcionando después de ser p2v'ed mientras el nombre del servidor no cambie. La dirección IP no importa.

    
respondido por el majorROM 14.07.2015 - 00:24
fuente