¿Por qué no generar un cliente SSL con fecha de vencimiento en un futuro muy lejano?

Navega tus respuestas
5

En el caso de un certificado SSL del servidor, es emitido por una CA que puede recuperarlo hasta que caduque y Además, la CA normalmente cobra una tarifa por cada certificado, por lo que está interesada en los certificados que caducan aproximadamente cada año.

Mi pregunta es sobre certificados de clientes. Supongamos que quiero hacer llamadas al servicio API de administración de Azure. Genero un certificado en mi computadora, lo exporto con una clave pública y luego lo subo a Azure Management Portal. Luego escribo un código que carga el mismo certificado exportado desde un archivo local y de alguna manera autentica mágicamente la conexión HTTPS. El servicio API de administración recibe la solicitud y verifica si el certificado utilizado es el correcto.

El punto es que no hay autoridad aquí. Si mis certificados se ven comprometidos, yo mismo genero uno nuevo y luego voy al portal, agrego el nuevo certificado y borro el anterior. Luego, cambio el software de mi cliente y la persona que haya copiado mi certificado anterior está bloqueada.

Parece que me interesa generar un certificado que caduque lo más tarde posible, algo como 10+ o 50+ años a partir de ahora.

¿Por qué no generaría un certificado que caduca lo más tarde posible en este escenario?

    
pregunta sharptooth 23.01.2015 - 11:20
fuente

2 respuestas

7

  1. Porque lo que se considera seguridad adecuada hace 10 años no es el caso hoy (o todos estaríamos usando SSL_RSA_EXPORT_WITH_RC4_40_MD5).

  2. Debido a que hace que las CRLs sean umanagables, ahora tenemos OCSP para eso, pero requeriríamos una verificación más frecuente y moveremos el problema del volumen a otra parte.

  3. Debido a que no se ajusta al modelo de negocios de las autoridades de certificación predominantes, si hubiera un conjunto de cifrado (probablemente) perfecto, su flujo de ingresos se destruiría.

respondido por el symcbean 23.01.2015 - 11:35
fuente
2

Symcbean tiene una buena respuesta, aunque voy a agregar otra:

  1. Porque mientras USTED generará un nuevo certificado en cualquier momento si cree que tiene uno débil, el usuario promedio (ya sea una compañía o un individuo) NO generará un nuevo certificado hasta que su certificado actual expire. Y luego volverán a tomar todos los valores predeterminados, solo esperamos que los nuevos valores predeterminados sean mejores que los valores predeterminados anteriores.

Esto también es cierto si está generando certificados ahora, y otra persona que es más perezosa y / o menos informada se hace cargo en el futuro por cualquier motivo (se retira a una isla tropical privada, por ejemplo).

    
respondido por el Anti-weakpasswords 24.01.2015 - 05:20
fuente

Lea otras preguntas en las etiquetas

¿Cuánto se reduce la entropía de una contraseña generada aleatoriamente si me regenero hasta que obtengo una contraseña que me gusta? [duplicar] ¿La manipulación de una contraseña aleatoria reduce significativamente su entropía?