Actualmente estamos buscando habilitar la fijación de claves públicas HTTP en nuestro sitio web. El problema que enfrentamos actualmente es que nuestros certificados solo duran 90 días, pero hemos ideado los siguientes pasos para resolver este problema:
- Inicialmente tendremos cuatro certificados emitidos (2 RSA y 2 ECC, uno de cada uno es de una CA diferente a la otra. Llamaré a la CA "A" y "B").
- Cada tres semanas tendremos un nuevo conjunto de certificados RSA y ECC emitidos. La primera vez (tres semanas después de habilitar el encabezado HPKP) será de CA "A", tres semanas más tarde de "B", luego de nuevo "A", etc. Solo se usará el par de certificados más antiguo que no haya caducado, pero los nuevos se fijan para uso futuro.
- El
max-age
será 5184000 segundos o 2 meses.
Información adicional:
- Nuevamente, debido a la forma en que nuestros CA están configurados, los certificados solo durarán 90 días antes de que caduquen.
- No queremos anclar los certificados raíz o intermediarios de CA, ya que queremos usar HPKP para evitar que los posibles secuestradores de nuestro dominio o DNS puedan emitir rápidamente un nuevo certificado. Si pudiéramos hacer esto, utilizaríamos DNS CAA ya que sería mucho más fácil en nuestra situación.
De esta manera, siempre serviremos al menos dos pares de certificados previamente anclados, cada uno de una CA diferente, según la especificación.
Sin embargo, en algún momento tendremos 8 certificados anclados (2 RSA y 2 ECC de cada una de las dos CA). Esto es mucho más de lo que me he encontrado, por lo que mis preguntas son:
¿Los navegadores pueden manejar 8 certificados anclados? ¿Cuál es el límite (si corresponde) a la cantidad de certificados que se pueden fijar?