SSL証明書を有効にする期間はどれくらいですか？

Question

* sgsax hates ssl certs < Landon> indeed < Landon> next time my servers cert expires I'm just going to make one for 100 years or something ridiculously long

上記の理由に何か問題はありますか？明らかに誰かが100年以内にブルートフォース攻撃を行う可能性がありますが、許容できる時間枠をどのように決定しますか？

sybreon · Answer

それはあなたの証明書が何のためにあるかによって大きく異なります。特定のWebサイトを識別するためのものである場合は、そのドメインの有効期限まで続くWebサイトを作成できます。ドメインが更新された後、SSL証明書を更新することもできます。

ただし、独自のCAのルート証明書を作成する場合は、独自のCAによって生成された他のすべての証明書がすぐに無効にならないように、長期証明書を作成することをお勧めします。 10年くらいなら大丈夫でしょう。

だから、それはすべて異なります。

Mark Carey · Answer

diffbeer703に基づいて構築するには、これはアイデンティティと整合性に関するものです。署名CAが信頼されているため、証明書によって検証されたIDは信頼されます。 CAが100の証明書に署名する場合、それは一般に信頼できる動作ではないため、CAが署名する証明書は信頼されるべきではありません。

サーバーIDが同じままになる可能性は低く、100年間存在することは言うまでもありません。また、サーバーが侵害された場合、その証明書が盗まれ、別のサーバーを自分のものとして識別するために使用される可能性があります。短期間の証明書では、より頻繁な証明書の検証が必要になるため、サーバーIDの盗難の脅威が少なくなります。

チェーン全体を管理する場合、特にサーバーIDの確認が必要なのがあなただけである場合は、それほど心配する必要はありません。サーバーIDに依存する人が増えるほど、CAがグッドプラクティスに従うことが重要になります。

duffbeer703 · Answer

それできますか？確かに-些細なビジネスや個人的な使用のための使い捨ての自己署名証明書を生成している場合。より深刻なもののためにPKIをセットアップする場合は、関連する問題についてさらに学ぶ必要があります。

PKIは、単なる暗号化ではなく、信頼の連鎖を確立することです。

優れたリソースは「WindowsServer2008PKIとBrianKomarによる証明書のセキュリティ」であり、気になる可能性のあるさまざまなPKIシナリオのすべてについて説明しています。本から何かを得るためにMicrosoftのCAを使用する必要はありません。