¿Cuándo debo renovar la autoridad de certificación?

4

¿Cuál es la mejor práctica para renovar las autoridades de certificación? Me refiero a cuándo debo renovar la autoridad de certificación?

Por ejemplo, supongamos que tengo la siguiente configuración: 1. Raíz CA con validez de 30 años. 2. Sub CA con una validez de 20 años emitida por Root CA

Al renovar el certificado de Sub CA después de 20 años, no puede tener otros 20 años debido a que el certificado de Root CA expiraría antes, por lo que, en ese caso, la nueva Sub CA tendría una validez de 10 años.

¿O debo renovar la CA raíz 10 años antes de que caduque el certificado anterior y comenzar a emitir certificados de esta nueva CA raíz?

O bien, otro enfoque puede ser emitir una nueva Sub CA 10 años antes de su vencimiento y comenzar a emitir certificados de la nueva Sub CA después.

Me gustaría obtener una visión más profunda de las reglas de cómo se manejan estas situaciones en la vida real. ¿Qué debo buscar para administrar las autoridades de certificación correctamente y renovar su certificado a tiempo?

EDITAR para tener una mejor comprensión:

¿Cómo gestionaría la renovación de la autoridad de certificación con una validez de 5 años y la emisión de certificados de entidad final con una validez de 3 años?

¿Qué haría y cuándo haría un proceso transparente transparente para los usuarios finales?

    
pregunta user1563721 22.02.2016 - 21:00
fuente

3 respuestas

2

Creo que lo más importante a considerar es la vida útil de Root CA.

¿Por qué tenemos una CA raíz? Porque confiamos en la CA raíz y queremos confiar en las cosas firmadas por dicha CA raíz.

¿Por qué tenemos un Sub CA? porque no queremos usar el CA raíz cada vez que queremos firmar algo (porque es más seguro simplemente poner la clave privada en un lugar de almacenamiento en frío) . Entonces firmamos un Sub CA (o intermedio) con una vida útil más corta, por lo que tenemos un certificado confiable que podemos usar para firmar pero que no es tan duradero en caso de que esté comprometido.

¿Por qué confiamos en la CA raíz? porque todos hemos acordado confiar en ella.

Entonces, la verdadera pregunta es ¿con qué frecuencia desea pedirle a la gente que confíe en un nuevo Root Cert? Cuanto más larga sea la vida útil, más peligroso será si se compromete. Cuanto más corta sea la vida útil, más a menudo tendrá que pedir a las personas que confíen en un Root Cert.

Un certificado raíz no puede tener su vencimiento extendido.

    
respondido por el d1str0 22.02.2016 - 21:54
fuente
1

No hay un concepto de renovación de CA raíz (o renovación de certificado para lo que importa), excepto en un sentido comercial. Cada certificado es nuevo, que puede o no reutilizar las mismas claves privadas / públicas.

Cuando la CA raíz está a punto de caducar, debe crear una nueva y realizar el proceso para incluirla en el conjunto de claves de la CA en la que confíe.

Si está emitiendo certificados para clientes, debe asegurarse de tener un ciclo de renovación adecuado y comenzar a emitir desde la nueva cadena de CA cuando el período de validez de su certificado de cliente exceda la vida útil de CA anterior.

Si el certificado de CA raíz se inserta a tiempo en los repositorios de certificados a tiempo, la transición será transparente.

    
respondido por el M'vy 23.02.2016 - 11:07
fuente
0

La norma PKC relevante RFC5280 aplica el modelo de shell para la validación de certificados, lo que significa que para que cualquier firma (y por lo tanto el certificado) sea válida, cualquier certificado en la cadena del firmante también debe ser válido.

Eso significa que, después de 20 años, su nueva Sub CA no debe ser válida por más de 10 años y cualquier certificado de entidad final firmado por él no debe tener una fecha posterior a la fecha de caducidad de la raíz o subCA.

Para facilitar la transición a un nuevo subCA o certificado raíz (que usará un nuevo par de llaves), es una buena práctica crear un certificado cruzado . Es un certificado que tiene las mismas entradas que el antiguo pero firmado por el nuevo. Digamos que creas un nuevo certificado raíz. A continuación, creará un certificado intermedio que contenga la clave pública y el asunto (y las extensiones) de su antiguo certificado raíz firmado por el nuevo. De esa manera, todos los certificados antiguos pueden ser validados con éxito por cualquiera de las dos raíces utilizadas como un ancla de confianza. Si realiza este procedimiento con suficiente antelación (~ 1-2 años), tendrá tiempo suficiente para implementar su nueva raíz en todos los productos de software y máquinas necesarias sin crear interrupciones para los usuarios.

    
respondido por el mat 31.10.2017 - 10:45
fuente

Lea otras preguntas en las etiquetas