¿Por cuánto tiempo será válido un certificado?

Hay algo de información en blog de Microsoft:

Key length of 1024:  Validity period = not greater than 6-12 months
Key length of 2048:  Validity period = not greater than 2 years
Key length of 4096:  Validity period = not greater than 16 years

Editar :) ok, vamos a intentarlo más:

Hay esta recomendación del gobierno de los EE. UU. que dice que no debe durar más de 3 años. Y el período de validez debe estar relacionado con la interacción necesaria para "renovarla": cuanto más necesaria es la interacción humana, más largo es el tiempo, hasta 3 años.

En Brasil, la recomendación es: fuente

• 1024 bits, software generado: 1 año si está almacenado en software y 2 años si está en hardware (token)

• 1024 bits, hardware generado: 3 años si se almacena en hardware

La fecha de caducidad de un certificado debe establecerse en la fecha en la que desea que el titular del certificado vuelva para una renovación. Este es un asunto de compensaciones:

• Cada operación de renovación conlleva alguna acción de algún humano en algún lugar, por lo que tiene un costo que puede ser no despreciable.
• La CA comercial usa un modelo de negocio que implica la venta de certificados, y las renovaciones frecuentes significan más ingresos.
• La caducidad de los certificados le permite eliminar las entradas correspondientes de la CRL ( Listas de revocación de certificados ), por lo que no desea que los certificados se realicen realmente.
• Algunas jurisdicciones imponen rangos de validez específicos por razones que a menudo son oscuras y, a veces, completamente irracionales. Pero la ley es la ley.
• No desea hacer certificados cuya vida se extienda más allá de la fecha en la que estima que la clave pública podría convertirse en crackeable debido a los avances tecnológicos.

Hay varias "estimaciones" para "fortaleza clave" dependiendo de su longitud, y estas a veces vienen con recomendaciones de vida útil clave. Este tipo de trabajo si 10% ciencia, 90% "conjeturas educadas", que es una especie de adivinación. Consulte este sitio para obtener una gran cantidad de datos. En particular, el NIST dice que una clave RSA de 2048 bits debería estar bien hasta al menos el año 2030. Pero la diferencia entre una "clave tal vez crackeable" y una "clave tal vez no crackeable" es muy confusa, así que no espere mucho. datos aquí.

En la práctica, la fuerza clave supera con mucho la vida útil real de los certificados. Los tiempos de vida típicos para los certificados de entidades finales varían de uno a tres años; Hacer eso de cinco a diez años para intermedio de CA. Para una CA raíz, haga que caduque en 2037 (es decir, en la medida de lo posible en el futuro, pero sin cruzar el problema Y2038 ).