Em teoria, uma CA poderia fazer um certificado válido por um período arbitrariamente longo?

Você poderia, se assim o desejar, criar um certificado autoassinado que expira em 9999-12-31T23:59:59Z , a maior data possível para codificar pelas regras atuais (o problema Y10k).

Esse certificado pode emitir outros certificados que também expiraram nesse momento.

O certificado auto-assinado não será adotado pelos sistemas operacionais ou navegadores; porque todos eles têm regras contra isso.

Como o Certificado raiz confiável da Microsoft: Requisitos do programa Regra 3: os certificados raiz não devem expirar mais de 25 anos após a data de aplicação para distribuição.

Surpreendentemente, parece não haver uma declaração concisa de validade máxima para as autoridades raiz nas regras do CA / Browser, nas regras do Mozilla ou nas regras da Apple. O que provavelmente significa que eles apenas pegam carona nas regras da Microsoft.

Se uma CA tivesse um certificado de raiz que tivesse uma expiração adequadamente longa, eles poderiam emitir certificados por um período de tempo equivalente. Os certificados emitidos por uma CA não serão válidos por mais tempo que o certificado raiz, mesmo se o certificado filho tiver uma expiração mais longa.

Você, como autoridade de certificação, pode colocar qualquer data de validade anterior em um certificado X.509. Na verdade, você pode até ignorar essa restrição.

A questão é qual cliente irá aceitá-los. Isso depende do pacote de software, da versão do software, da configuração do cliente e possivelmente de outras coisas do contexto, como registros de data e hora, logs de transparência, período de validade da raiz e intermediários da CA, tipo real de raiz raiz (pública ou personalizada) comprimento da chave, frescor da CRL e conteúdo OCSP e outros. Por isso, é difícil saber sem ver tudo isso.

No entanto, os requisitos de referência do CA Browser Forum exigem que você forneça uma validade máxima de 39 meses. Um navegador da Web compatível que se baseia em certificados provavelmente reforça isso e deixa de confiar depois dessa data (ou nunca confia neles):

Na seção 6.3.2 do CA-Browser-Forum-BR 1.4.2 :

Subscriber Certificates issued after 1 April 2015 MUST have a Validity Period no greater than 39 months.

Pode ser o caso de não impor isso para raízes personalizadas. Você certamente usará seu estado confiável se fizer isso para certificados oficialmente confiáveis.

In theory, could a CA make a certificate that is valid for arbitrarily long?

Não , a teoria não sustenta que uma autoridade de certificação (CA) pode emitir um certificado válido por um período arbitrariamente longo. O problema é que não podemos ter certeza de que os métodos de assinatura não podem ser quebrados.

Na prática, sim, você pode criar um certificado que declare expirar em 2000 anos. No entanto, se o seu método de assinatura for quebrado antes desse ponto, seria tolice aceitá-lo. Além disso, o formato do certificado pode se tornar obsoleto.