Esta es una gran oportunidad para desarrollar los conceptos básicos de cómo funcionan las AC. Asumiré que estamos hablando de CA raíz, ya que renovar una CA subordinada no es realmente un gran problema.
¿Con qué frecuencia las CA renuevan las claves y en qué circunstancias (número de certificados emitidos, tiempo, etc.)?
Volveré a formular esta pregunta:
¿Qué factores aumentan la probabilidad de un atacante de descifrar la clave privada de la AC?
Suponiendo que no estamos hablando de hacks, puertas traseras, amenazas internas, etc., y solo hablamos de craqueo basado en información pública, entonces la respuesta es: la elección del algoritmo, el tamaño de la clave y la cantidad de tiempo.
El cálculo es algo así: digamos que elegimos RSA-4096, luego buscaremos el tiempo de ejecución de los ataques más conocidos contra RSA, buscaremos costos para alquilar esa cantidad de potencia de cómputo en Amazon, haremos algo de la Ley de Moore cálculos y adivinar cuánto tiempo le tomaría a un atacante romperlo. Resulta que para RSA y ECC que los ataques más conocidos solo necesitan la clave pública; una firma pierde información cero sobre la clave privada, por lo que ver muchas firmas no ayuda.
Tenga en cuenta que esto no será cierto para algunos de los algoritmos de firma post-cuántica. En particular, con firmas basadas en hash [ article1 ], [ article2 ], las claves privadas son esencialmente grandes colecciones de claves de un solo uso donde cada firma revela una clave privada. Una vez que el mundo cambie a criptografía post-cuántica, su pregunta será mucho más relevante.
En el caso de que una CA necesite renovar su par de claves, ¿qué sucede con los certificados anteriores que aún son válidos? ¿Se vuelven a firmar con la nueva clave?
Este es, de hecho, un problema fundamental con la forma en que se diseñan las CA. He visto que se maneja de dos maneras diferentes:
-
La CA simplemente no emitirá certificados que sobrevivan a sí mismos. Digamos que tienes una CA que emite certificados de 1 año. Cuando la propia CA tenga menos de un año, se enfrentará a una nueva CA emisora. La antigua CA todavía está disponible para las revisiones de revocación y demás, pero ya no emite nuevos certificados.
-
Certifique de forma cruzada la CA antigua con la nueva, de modo que al validar un certificado emitido por la CA antigua, se encadenará a la CA actual. Esto es un poco hacky porque técnicamente hay un CA caducado en la cadena. La mayoría de los motores TLS no admiten este tipo de cosas, por lo que solo lo he visto en entornos cerrados como el correo electrónico corporativo o los sistemas de identificación con credenciales de identificación, en los que tiene más control sobre los clientes.
Debido a la interrupción de traspasar una CA raíz, desea que sea válida durante mucho tiempo. Un vistazo rápido a través de los certificados de raíz de mi navegador muestra certificados de 15 años, certificados de 20 años e incluso unos 30 años.