* sgsax hates ssl certs
< Landon> indeed
< Landon> next time my servers cert expires I'm just going to make one
for 100 years or something ridiculously long
Что-то не так в приведенных выше рассуждениях? Очевидно, что кто-то может применить грубую силу через 100 лет, но как определить приемлемые временные рамки?
Это во многом зависит от того, для чего предназначен ваш сертификат. Если это необходимо для идентификации определенного веб-сайта, вы, вероятно, можете создать такой, который будет действовать до истечения срока действия этого домена. После продления домена вы также можете продлить сертификат SSL.
Но если вы создаете корневой сертификат для своего собственного центра сертификации, вы можете захотеть создать долгосрочный сертификат, чтобы все другие сертификаты, созданные вашим собственным центром сертификации, не стали недействительными слишком быстро. Примерно 10 лет, наверное, нормально.
Итак, все зависит от обстоятельств.
если использовать diffbeer703, речь идет об идентичности и целостности. удостоверение, подтвержденное сертификатом, является доверенным, поскольку подписывающий ЦС является доверенным. если ЦС подписывает сертификаты для 100, это обычно ненадежное поведение, и поэтому сертификатам, которые они подписывают, нельзя доверять.
маловероятно, что идентичность сервера останется прежней, не говоря уже о существовании в течение 100 лет. также, если сервер скомпрометирован, его сертификаты могут быть украдены и использованы для идентификации другого сервера как вашего. Недолговечные сертификаты делают необходимость более частой проверки сертификатов, что снижает угрозу кражи идентификационных данных сервера.
если вы управляете всей цепочкой, это не беспокоит вас, особенно если единственный человек, которому требуется подтверждение личности сервера, это вы. чем больше людей зависит от идентичности сервера, тем важнее, чтобы CA выполнял передовые методы.
Ты можешь сделать это? Конечно - если вы создаете одноразовый самозаверяющий сертификат, предназначенный для повседневного использования в бизнесе или в личных целях. Если вы собираетесь настроить PKI для чего-то более серьезного, вам нужно больше узнать о связанных с этим проблемах.
PKI - это больше, чем просто шифрование - это создание цепочки доверия.
Хороший ресурс - это «Windows Server 2008 PKI и безопасность сертификатов, автор Брайан Комар», в котором описаны все различные сценарии PKI, которые могут вас заинтересовать. Вам не нужно использовать центр сертификации Microsoft, чтобы извлечь что-то из книги.