Ver título. ¿Existen fuentes en las que existan tiempos de validez recomendados de los certificados (según la longitud, algo, etc.)?
Estoy particularmente interesado en la validez de los certificados RSA ...
Hay algo de información en blog de Microsoft:
Key length of 1024: Validity period = not greater than 6-12 months
Key length of 2048: Validity period = not greater than 2 years
Key length of 4096: Validity period = not greater than 16 years
Editar :) ok, vamos a intentarlo más:
Hay esta recomendación del gobierno de los EE. UU. que dice que no debe durar más de 3 años. Y el período de validez debe estar relacionado con la interacción necesaria para "renovarla": cuanto más necesaria es la interacción humana, más largo es el tiempo, hasta 3 años.
En Brasil, la recomendación es: fuente
1024 bits, software generado: 1 año si está almacenado en software y 2 años si está en hardware (token)
1024 bits, hardware generado: 3 años si se almacena en hardware
La fecha de caducidad de un certificado debe establecerse en la fecha en la que desea que el titular del certificado vuelva para una renovación. Este es un asunto de compensaciones:
Hay varias "estimaciones" para "fortaleza clave" dependiendo de su longitud, y estas a veces vienen con recomendaciones de vida útil clave. Este tipo de trabajo si 10% ciencia, 90% "conjeturas educadas", que es una especie de adivinación. Consulte este sitio para obtener una gran cantidad de datos. En particular, el NIST dice que una clave RSA de 2048 bits debería estar bien hasta al menos el año 2030. Pero la diferencia entre una "clave tal vez crackeable" y una "clave tal vez no crackeable" es muy confusa, así que no espere mucho. datos aquí.
En la práctica, la fuerza clave supera con mucho la vida útil real de los certificados. Los tiempos de vida típicos para los certificados de entidades finales varían de uno a tres años; Hacer eso de cinco a diez años para intermedio de CA. Para una CA raíz, haga que caduque en 2037 (es decir, en la medida de lo posible en el futuro, pero sin cruzar el problema Y2038 ).
Lea otras preguntas en las etiquetas cryptography certificates