¿Cuándo rotar un certificado TLS del cliente?

2

¿Cuál es el período de rotación recomendado de un certificado TLS / cliente? He visto organizaciones rotando a la mitad de su vida y algunas que rotan solo 30-50 días antes de la fecha de caducidad.

Por ejemplo, para un certificado válido por 1 año, ¿hago una rotación a los 6 meses oa los 11 meses? ¿Hay alguna recomendación para rotar al 80% de la vida útil de un certificado?

    
pregunta user5504145 17.08.2018 - 00:09
fuente

1 respuesta

3

La cantidad de tiempo antes de que caduque una vez que alguien decida renovar el certificado tiene que ver con continuidad en lugar de seguridad . En resumen, debe dejarse el tiempo suficiente para rotar, en función del tiempo de respuesta "normal" y luego agregar más tiempo para el relleno. Las personas que giran a la vida media están dejando MUCHO relleno.

El certificado se presume válido y seguro hasta que caduque, o se revoque. Iniciar la renovación no implica que el certificado sea menos válido de ninguna manera.

Pero considere un certificado que expira en 3 días, y demora una semana en renovarse. Habrá un déficit en el que el certificado anterior ha caducado y el nuevo aún no está en su lugar.

Este tipo de crisis de tiempo comúnmente se multiplican por ineficiencias en ambos extremos de la cadena, y en muchos casos hay trauma institucional de que una vez alguien olvidó y todo explotó . ¿Su solución? Deje un búfer más grande y renueve el certificado más lejos, con más tiempo antes de que caduque el "muro".

    
respondido por el gowenfawr 17.08.2018 - 03:34
fuente

Lea otras preguntas en las etiquetas