Estoy creando una autoridad de certificación para una red con un nivel de tres cadena.
- nivel 1
- nivel 2
- nivel 3
- certificados de hoja.
Me pregunto cuáles son los tiempos de vencimiento apropiados para cada certificado en la cadena. Administraré certificados con algo como chef / salt y también proporcionaré compatibilidad con ACME, por lo que podemos asumir que la logística de la actualización de los certificados no es un problema.
Quiero actualizar los certificados con frecuencia para evitar que alguien amplíe gradualmente su superficie de ataque. También quiero mantener el manejo de la clave privada (máquina de Linux sin conexión, unidad flash cifrada en una caja fuerte) al mínimo porque realmente no puedo imponer cómo otras personas lo manejan si surge la necesidad.
Este es mi primer intento de vencimiento:
- Nivel 1: expira 2037
- Nivel 2: caduca cada 3 años
- Nivel 3: caduca cada 1 año
- Leaf Cert: caduca cada 3 meses