¿Cuál es el período de rotación recomendado de un certificado TLS / cliente? He visto organizaciones rotando a la mitad de su vida y algunas que rotan solo 30-50 días antes de la fecha de caducidad.
Por ejemplo, para un certificado válido por 1 año, ¿hago una rotación a los 6 meses oa los 11 meses? ¿Hay alguna recomendación para rotar al 80% de la vida útil de un certificado?
La cantidad de tiempo antes de que caduque una vez que alguien decida renovar el certificado tiene que ver con continuidad en lugar de seguridad . En resumen, debe dejarse el tiempo suficiente para rotar, en función del tiempo de respuesta "normal" y luego agregar más tiempo para el relleno. Las personas que giran a la vida media están dejando MUCHO relleno.
El certificado se presume válido y seguro hasta que caduque, o se revoque. Iniciar la renovación no implica que el certificado sea menos válido de ninguna manera.
Pero considere un certificado que expira en 3 días, y demora una semana en renovarse. Habrá un déficit en el que el certificado anterior ha caducado y el nuevo aún no está en su lugar.
Este tipo de crisis de tiempo comúnmente se multiplican por ineficiencias en ambos extremos de la cadena, y en muchos casos hay trauma institucional de que una vez alguien olvidó y todo explotó . ¿Su solución? Deje un búfer más grande y renueve el certificado más lejos, con más tiempo antes de que caduque el "muro".
Lea otras preguntas en las etiquetas certificates certificate-authority