¿Cuál es la diferencia desde la perspectiva de la AC entre la renovación y el cambio de clave del certificado emitido anteriormente por esta CA?
4.4.6. Renovación de certificado
Este subcomponente se utiliza para describir los siguientes elementos Relacionados con la renovación de certificados. Renovación del certificado significa el Emisión de un nuevo certificado al suscriptor sin cambiar. La clave pública del suscriptor u otro participante o cualquier otra Información en el certificado:
- Circunstancias bajo las cuales se realiza la renovación del certificado, tales como donde la vida útil del certificado ha expirado, pero la política permite la mismo par de claves para ser reutilizadas;
Lo que se contradice a sí mismo porque inicialmente indica que durante la renovación no puede cambiar la clave pública o cualquier otra información en el certificado , pero luego continúa diciendo que se puede realizar una renovación donde ha expirado la vida útil del certificado .
y ...
4.4.7. Re-clave del certificado
Este subcomponente se utiliza para describir los siguientes elementos relacionado con un suscriptor u otro participante que genere una nueva clave emparejarse y solicitar la emisión de un nuevo certificado que certifica la nueva clave pública:
- Circunstancias bajo las cuales la re-clave del certificado puede o debe tomar lugar, como después de que un certificado sea revocado por razones de clave compromiso o después de que un certificado haya caducado y el período de uso del par de claves también ha caducado;
Aquí hay una cita de declaración de la Política de certificados de Symantec :
En términos generales, tanto "Rekey" como "Renewal" son comúnmente descrito como "Renovación de certificado", que se centra en el hecho de que el antiguo Certificado se está reemplazando con un nuevo Certificado y no enfatiza si se genera o no un nuevo par de claves.
Luego definen Rekey y Renew como (énfasis mío)
Renovación de certificado es la emisión de un nuevo certificado al suscriptor sin cambiar la clave pública o cualquier otra información en el certificado. La renovación de certificados es compatible con los certificados de Clase 3 donde el par de claves se genera en un servidor web como la mayoría de la generación de claves de servidor web Las herramientas permiten la creación de una nueva solicitud de certificado para un par de claves existente.
Renovación de certificado es la aplicación para la emisión de un nuevo certificado que certifica la nueva clave pública. La clave del certificado es compatible con todas las clases de certificados.
Realmente solo se trata de política. Una CA podría decidir que siempre prohibirá la emisión de un certificado con una clave ya certificada. Tener (y hacer cumplir) esa política requiere un proceso de emisión más costoso que simplemente verificar que el material de identificación del sujeto sea válido, ya que tendrían que comparar la clave pública con todos los certificados emitidos anteriormente.
Requisitos básicos del CA / Browser Forum no tiene estipulaciones de renovación o renovación de clave (secciones 4.6 y 4.7), y Requisitos de validación ampliada don Parece que no mencionan las claves.
Lea otras preguntas en las etiquetas public-key-infrastructure certificate-authority x.509