Si he implementado un certificado digital en un servidor web y si es necesario renovarlo, ¿qué pasos debo seguir? ¿Necesitaré generar un nuevo par de claves privadas de clave pública más largo? ¿Por qué es necesario renovar los certificados en primer lugar?
No es necesario que genere una nueva clave a menos que quiera o la clave haya sido comprometida (pero, con suerte, si sabe que la clave fue comprometida hace mucho que la ha reemplazado).
La mayoría de los CA le permitirán volver a emitir un certificado con el mismo tema, simplemente actualizando la fecha de vencimiento.
Necesitará seguir los mismos pasos para comprar el certificado en primer lugar, incluida la generación de un nuevo par de claves (pero no necesariamente más largo).
Los certificados caducan en parte porque a las empresas de certificación les gusta el negocio regular, pero principalmente porque no hay procesos buenos para la revocación de certificados comprometidos en los navegadores web de los usuarios finales, por lo que tener una fecha de caducidad en el certificado al menos significa que puede ' t ser mal utilizado indefinidamente si se pone en peligro.
Un certificado debe renovarse porque tiene una fecha de caducidad. Cuando el certificado haya caducado, los clientes se negarán a usarlo más (en el contexto de la Web, los navegadores muestran una advertencia de miedo en esa situación).
Entonces, la pregunta es: ¿por qué hay una fecha de caducidad en el certificado? Teóricamente, esta es una forma de mantener pequeñas las listas de revocaciones. Una Lista de revocación de certificados (CRL) designa todos los certificados emitidos por una CA determinada y que no ser utilizados más, a pesar de que "se ven bien". Revocación es el acto de "cancelar" un certificado. Por ejemplo, si una clave privada está comprometida (es robada), el propietario de la clave legítima informa a la CA, que luego revoca el certificado al incluirla en su CRL publicada periódicamente, para que los clientes dejen de aceptar El correspondiente certificado. Por construcción, una CRL solo puede crecer (como las personas que no son mesías, los certificados mueren y luego permanecen muertos), por lo que se diseñó un truco: los certificados caducados no deben incluirse en una CRL (si se trata de un certificado caducó, los clientes no lo usarán, no necesitan saber si fue también revocado). Esto mantiene el tamaño de CRL bajo control, ya que las entradas antiguas se eliminan.
Esa es la teoría sobre las fechas de caducidad. En cuanto a la práctica, Peter Gutmann ofrece la siguiente explicación alternativa en su guía de estilo X.509 :
Este campo indica el momento en el que tiene que pagar a su CA una tarifa de renovación para que se vuelva a emitir el certificado.
Una tercera explicación es que la renovación le permite a la CA migrar cosas. P.ej. la URL en la que se puede descargar la CRL está escrita en los propios certificados; Si los certificados nunca expiraran, esa URL tendría que ser eterna, y la eternidad es un poco larga, para una empresa.
La explicación en la que elijas creer depende de ti.
En cuanto a los detalles de la operación de renovación, realmente dependen de la CA. No existe una imposibilidad conceptual para que la CA compile un nuevo certificado idéntico al anterior, excepto la fecha de caducidad, lo firme y se lo envíe. Esto ni siquiera requiere ninguna acción de su parte. Sin embargo, algunos CA querrán más de usted, posiblemente incluso la generación de un nuevo par de claves (como lo hizo cuando obtuvo el primer certificado). CA podría requerir una clave más larga, si tienen una política estricta sobre la longitud de las claves y la clave anterior ya no cumple con esa política. En teoría, no es el trabajo de CA imponer longitudes de clave mínimas (los clientes deben tomar esa decisión por instancia), pero en la práctica, CA do exige tipos y longitudes de clave. La CA también puede requerir una nueva generación de claves en caso de que no se molesten en implementar una operación de renovación específica.
¿Por qué es necesario renovar los certificados en primer lugar?
Eso sucede porque:
¿Necesitaré generar un nuevo par de claves privadas de clave pública más largo?
No. A menos que su CA le pregunte eso por una razón u otra.
Si he implementado un certificado digital en un servidor web y si debe renovarse, ¿qué pasos debo seguir?
Todo depende de su CA, pero en general no tiene nada que hacer por sí mismo.
Lea otras preguntas en las etiquetas public-key-infrastructure cryptography certificates