Un certificado debe renovarse porque tiene una fecha de caducidad. Cuando el certificado haya caducado, los clientes se negarán a usarlo más (en el contexto de la Web, los navegadores muestran una advertencia de miedo en esa situación).
Entonces, la pregunta es: ¿por qué hay una fecha de caducidad en el certificado? Teóricamente, esta es una forma de mantener pequeñas las listas de revocaciones. Una Lista de revocación de certificados (CRL) designa todos los certificados emitidos por una CA determinada y que no ser utilizados más, a pesar de que "se ven bien". Revocación es el acto de "cancelar" un certificado. Por ejemplo, si una clave privada está comprometida (es robada), el propietario de la clave legítima informa a la CA, que luego revoca el certificado al incluirla en su CRL publicada periódicamente, para que los clientes dejen de aceptar El correspondiente certificado. Por construcción, una CRL solo puede crecer (como las personas que no son mesías, los certificados mueren y luego permanecen muertos), por lo que se diseñó un truco: los certificados caducados no deben incluirse en una CRL (si se trata de un certificado caducó, los clientes no lo usarán, no necesitan saber si fue también revocado). Esto mantiene el tamaño de CRL bajo control, ya que las entradas antiguas se eliminan.
Esa es la teoría sobre las fechas de caducidad. En cuanto a la práctica, Peter Gutmann ofrece la siguiente explicación alternativa en su guía de estilo X.509 :
Este campo indica el momento en el que tiene que pagar a su CA una tarifa de renovación para que se vuelva a emitir el certificado.
Una tercera explicación es que la renovación le permite a la CA migrar cosas. P.ej. la URL en la que se puede descargar la CRL está escrita en los propios certificados; Si los certificados nunca expiraran, esa URL tendría que ser eterna, y la eternidad es un poco larga, para una empresa.
La explicación en la que elijas creer depende de ti.
En cuanto a los detalles de la operación de renovación, realmente dependen de la CA. No existe una imposibilidad conceptual para que la CA compile un nuevo certificado idéntico al anterior, excepto la fecha de caducidad, lo firme y se lo envíe. Esto ni siquiera requiere ninguna acción de su parte. Sin embargo, algunos CA querrán más de usted, posiblemente incluso la generación de un nuevo par de claves (como lo hizo cuando obtuvo el primer certificado). CA podría requerir una clave más larga, si tienen una política estricta sobre la longitud de las claves y la clave anterior ya no cumple con esa política. En teoría, no es el trabajo de CA imponer longitudes de clave mínimas (los clientes deben tomar esa decisión por instancia), pero en la práctica, CA do exige tipos y longitudes de clave. La CA también puede requerir una nueva generación de claves en caso de que no se molesten en implementar una operación de renovación específica.