¿Cuál es la mejor práctica para renovar las autoridades de certificación? Me refiero a cuándo debo renovar la autoridad de certificación?
Por ejemplo, supongamos que tengo la siguiente configuración: 1. Raíz CA con validez de 30 años. 2. Sub CA con una validez de 20 años emitida por Root CA
Al renovar el certificado de Sub CA después de 20 años, no puede tener otros 20 años debido a que el certificado de Root CA expiraría antes, por lo que, en ese caso, la nueva Sub CA tendría una validez de 10 años.
¿O debo renovar la CA raíz 10 años antes de que caduque el certificado anterior y comenzar a emitir certificados de esta nueva CA raíz?
O bien, otro enfoque puede ser emitir una nueva Sub CA 10 años antes de su vencimiento y comenzar a emitir certificados de la nueva Sub CA después.
Me gustaría obtener una visión más profunda de las reglas de cómo se manejan estas situaciones en la vida real. ¿Qué debo buscar para administrar las autoridades de certificación correctamente y renovar su certificado a tiempo?
EDITAR para tener una mejor comprensión:
¿Cómo gestionaría la renovación de la autoridad de certificación con una validez de 5 años y la emisión de certificados de entidad final con una validez de 3 años?
¿Qué haría y cuándo haría un proceso transparente transparente para los usuarios finales?