Estoy diseñando una PKI AD-CS de dos niveles y, en lo que respecta a la CA raíz, me cuesta entender el período de validez de la CRL que se usa para validar las CA de las CA.
La documentación parece recomendar 3 meses, 6 meses o 1 año, pero lo que realmente no entiendo es, ¿por qué ya no?
Estoy planificando certificados de 5 años para los CA sub para que se renueven a los 2,5 años, siguiendo el ciclo de vida media. ¿Por qué, entonces, debo configurar la CRL desde la raíz para que sea menos que eso y solo causar una sobrecarga administrativa de encender la raíz cada pocos meses para actualizar la CRL?
Estoy pensando para qué se usa realmente una CRL y entiendo que cuanto más largo es el período de validez de una CRL, más tiempo permanece en la caché de un cliente. Pero, también estoy pensando en las circunstancias en las que podría revocar el certificado de una sub-CA, es decir, un compromiso clave.
¿Entonces se supone que debo esperar varios meses o incluso un año para que las entidades finales actualicen su CRL en caché con la más reciente, que contendrá el certificado de CA revocado y solo así dejarán de confiar y utilizar los certificados emitidos por CA comprometida?
¿Seguramente se tomarán medidas de remediación inmediata? Revocar la CA será el primer paso, pero luego presentaré una nueva sub-CA, crearé un nuevo par de claves y comenzaré a emitir nuevos certificados a todas las entidades, agregaré la CA comprometida a su tienda no confiable, borrando manualmente su caché de CRL y obligándolos a obtener el nuevo.
Parece que la rutina de poner el Root CA en línea cada pocos meses es solo una ceremonia innecesaria porque cuando llegue el momento, esa larga validez de CRL será inútil. ¿No tendría más sentido solo poner la raíz en línea para emitir una nueva CRL si la sub-CA necesita ser revocada?