Estoy intentando configurar una CA para mi empresa y emitir a cada empleado un certificado digital y una clave privada. Me preocupa la revocación y el vencimiento.
En mi caso, el certificado raíz de CA se usa para verificar las identidades de los clientes, el usuario id est debe presentar un certificado válido y una clave privada para acceder a páginas web específicas (Apache VerifyClient require o Nginx ssl_verify_client on ). Si un usuario deja la compañía o su clave privada está comprometida, el certificado se agrega a la CRL.
Como podemos ver, la CRL crecerá más y más a medida que los empleados vayan y vengan. Esto no es lo que quiero. Sin embargo, como cada certificado tiene una fecha de caducidad (lo establezco en 180 días), ¿puedo eliminar los certificados caducados de la CRL? Esto puede reducir un poco el problema con el CRL de gran tamaño.
El artículo de Wikipedia sobre "CRL" dice que la caducidad no debe usarse como una sustitución de revocación. Creo que están hablando de navegadores web que verifican los servidores web, ya que la computadora de algunos usuarios puede tener un tiempo incorrecto (confiando así en los certificados caducados proporcionados por los servidores web). Sin embargo, en mi caso, es el servidor web el que verifica a los usuarios, por lo que si puedo asegurarme de que la hora en el servidor web sea correcta, ¿puedo eliminar los certificados comprometidos caducados de CRL?