¿Por qué no se recomienda usar la validez permanente del certificado para la clave pública [duplicado]

1

Como sabemos, no se recomienda proporcionar una validez permanente del certificado para la clave pública. No se por que ¿Podría darme algunas razones?

    
pregunta user40545 03.02.2016 - 21:57
fuente

1 respuesta

1

Para ser precisos, un certificado X.509 tiene un final de fecha de validez no opcional, por lo que no puede hacer un certificado "permanente" que cumpla con las normas. Sin embargo, esa fecha se puede codificar como un GeneralizedTime que puede codificar instantes hasta el final del año 9999, que es lo suficientemente lejano en el futuro como para ser considerado "para siempre".

Tenga en cuenta que existe un equivalente binario al problema Y2K, llamado problema del año 2038 , por lo que un certificado cuyo fin La validez después del 19 de enero de 2038 puede incurrir en problemas de interoperabilidad. Por lo general, los sistemas Windows no tienen ningún problema con dichas fechas (porque usan enteros de 64 bits para su representación de tiempo interna), pero las aplicaciones que usan bibliotecas antiguas del mundo Unix (en particular OpenSSL), y las utilizan de manera deficiente, pueden tener Dificultad para manejar tal certificado. Por lo tanto, se recomienda, por ahora, evitar establecer la fecha de finalización de la validez más allá de 2037.

De todos modos , la razón oficial para tener una fecha de finalización de la validez es apoyar a revocación . Cuando se revoca un certificado, su número de serie se agrega a una lista llamada CRL, publicada periódicamente por la CA. El número de serie deberá mantenerse como parte de la CRL siempre que el certificado sea "válido" (con respecto a su fecha de finalización de la validez). Por lo tanto, el fin de la validez está ahí para permitir la poda de entradas antiguas de CRL; si los certificados fueran permanentes, entonces la CRL crecería indefinidamente, lo que podría ser un problema, ya que se supone que se generan y se vuelven a descargar con frecuencia.

En un mundo ideal, o al menos en un mundo mejor, no usaríamos CRL sino OCSP . Una respuesta de OCSP es como una CRL que habla de un certificado único. En un sistema de revocación de OCSP puro, los certificados permanentes no serían un problema en absoluto.

El motivo menos oficial de la fecha de finalización de la validez es que funciona como fecha de vencimiento de la tarifa de renovación. Cuando una CA comercial vende certificados, la CA realmente lo ama cuando los clientes deben volver a comprar una renovación cada año.

    
respondido por el Thomas Pornin 03.02.2016 - 22:08
fuente

Lea otras preguntas en las etiquetas