RFC 5280, Sección 4.1.2.5 ("Validez") responde técnicamente a tu pregunta exactamente.
En resumen, un certificado con una fecha de caducidad de 99991231235959Z (23:59 GMT del 31 de diciembre de 9999) cumple con sus requisitos exactos, pero el RFC 5280 también requiere que tenga que poder revocar ese certificado para romper el ruta de certificación (es decir, revocando el certificado) antes de esta fecha.
La fecha de caducidad también se considera una fecha en la que el usuario debe revisar si las medidas técnicas vigentes siguen cumpliendo con los estándares actuales (por ejemplo, si deberían actualizar de un módulo de 1024 bits a un módulo de 2048 bits, o actualizar su servidor desde DES a AES).
Por la misma razón, las CA comerciales acuerdan no emitir certificados por más de 3 años en el futuro y requieren nombres de DNS que se puedan resolver públicamente en el espacio de IP público; lo más probable es que ambos requisitos sean bloqueadores para usted.
Al final, solo hay dos opciones:
-
conviértase en su propia CA raíz y emita dichos certificados automáticamente.
Una política para emitir certificados "para siempre" no cumple con las consideraciones de seguridad de los proveedores de navegadores y sistemas operativos, por lo que esto finalmente requerirá que los usuarios importen su CA raíz manualmente. Aconsejar a sus usuarios que confíen en su CA raíz es una operación sensible y puede que no encuentre una buena aceptación entre sus usuarios. Es posible que la CA esté usando restricciones de nombre x509 (por lo que los certificados emitidos solo son válidos para algunos dominios o subredes IP), pero todos los que tengan cierta seguridad en mente seguirán cuestionándose si es una buena idea seguir ese camino. En resumen: esto puede ser muy complejo, complicado y arriesgado, no hagas esto.
-
en la fabricación o "restablecer la configuración de fábrica", genere una clave privada individual en y / o para cada dispositivo y emita un certificado autofirmado con una fecha de caducidad de, por ejemplo, 10 años en el futuro (o la fecha especial mencionada anteriormente). La documentación debe solicitar a sus usuarios que eliminen los certificados previamente instalados después de "restablecer la configuración de fábrica" e importar ese certificado específico para evitar la advertencia del navegador. Karma adicional para explicar al usuario por qué se debe hacer esto :)
Recuerde que cuando use la fecha "para siempre", es posible que el certificado se vuelva "menos seguro" o "inválido". Como ejemplo, los navegadores y los sistemas operativos sí dictan una longitud de clave mínima o algoritmos (rotos) para rechazar y actualizar esos requisitos en consecuencia. En este momento, 1024 bits pueden "funcionar", pero los navegadores comienzan a mostrar las conexiones utilizando menos 2048 bits para "no ser seguros" o como "no válidos". Y los algoritmos también se rompen hasta el punto en que los navegadores ya no confían en ellos. Si su certificado autofirmado hace uso de esto, deberá actualizarlo en consecuencia.