¿Quién es responsable de generar una clave pública durante una comunicación segura?

[ "Facebook" aquí es solo "un ejemplo de alguien que quiere un certificado". No existe una Facebookidad especial inherente a esta situación. ]

  

¿Quién generó esa clave pública que puedo ver en el certificado de Facebook?   ¿Lo genera Facebook o esa CA intermedia?

1. Facebook genera el "par de llaves" que consiste en una clave pública y una clave privada.
2. Facebook genera una Solicitud de firma de certificado (CSR) que incluye la clave pública y envía el CSR a la CA.
3. La CA firma la clave pública en función de esa solicitud y devuelve la clave pública firmada (el "certificado") a Facebook.
4. Facebook instala la clave privada y el certificado en su servidor web, y usted ve ese certificado firmado cuando le pide a su navegador que le muestre la seguridad de la conexión.

  

¿La clave pública cambia a menudo o se modifica solo cuando la   ¿expira el certificado?

Lo ideal es que cambie cada vez que el certificado caduque: un podría enviar un nuevo CSR usando el antiguo par de llaves y obtener un nuevo certificado para la antigua clave pública, pero eso anularía el propósito de vencer los certificados, que es para asegurar el volumen de negocios clave.

También debe tener en cuenta que muchos cifrados modernos utilizados con TLS, como las variantes ECDHE, validan la conexión utilizando la clave pública (certificado) presentada como se describe, pero luego giran un nuevo par de llaves ("efímero") sobre la marcha y usar eso para proteger realmente el cifrado. Por lo tanto, el certificado que ve en el navegador web no es el certificado real utilizado para proteger los datos, y el certificado utilizado para proteger los datos tiene una duración extremadamente corta.