Por quanto tempo devo validar meu certificado SSL?

Question

Por quanto tempo devo validar meu certificado SSL?

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

2

* sgsax hates ssl certs
< Landon> indeed
< Landon> next time my servers cert expires I'm just going to make one 
                for 100 years or something ridiculously long

Há algo de errado com o raciocínio acima? Obviamente, alguém pode forçar a força bruta daqui a 100 anos, mas como você determina qual é o prazo aceitável?

ssl ssl-certificate brute-force-attacks

por jldugger 10.12.2009 / 00:05

3 respostas

Tags ssl ssl-certificate brute-force-attacks

Como eu faço backup da configuração do meu servidor localmente? Como posso me livrar / ocultar: arquivos 2eDS_Store no meu servidor netatalk linux?

score 3 · Answer 1

Depende muito do seu certificado. Se for para identificar um site específico, você provavelmente poderá criar um que dure até a data de expiração desse domínio. Depois que o domínio for renovado, você também poderá renovar o certificado SSL.

Mas se você estiver criando um certificado raiz para sua própria autoridade de certificação, convém criar um certificado de longo prazo para que todos os outros certificados gerados pela sua própria autoridade de certificação não se tornem inválidos muito em breve. Algo como 10 anos provavelmente é bom.

Então, tudo depende.

score 2 · Answer 2

para construir o diffbeer703, trata-se de identidade e integridade. a identidade verificada pelo certificado é confiável porque a autoridade de certificação é confiável. se a CA assina certificados para 100, isso geralmente não é um comportamento confiável e, portanto, os certificados que eles assinam não devem ser confiáveis.

é improvável que uma identidade de servidor permaneça a mesma, sem falar na existência por 100 anos. também se o servidor estiver comprometido, seus certificados podem ser roubados e usados para identificar outro servidor como seu. certs de vida curta fazem verificação de certificação mais freqüente necessária, tornando roubo de identidade do servidor menos de uma ameaça.

se você gerencia toda a cadeia, então é uma preocupação menor, especialmente se a única pessoa que precisa da identidade do servidor verificada é você. quanto mais pessoas dependem da identidade do servidor, mais importante é que as boas práticas sejam seguidas pela CA.

score 1 · Answer 3

Você pode fazer isso? Claro - se você está gerando um certificado auto-assinado descartável que é para negócios triviais ou uso pessoal. Se você for configurar uma PKI para algo mais sério, precisa aprender mais sobre os problemas envolvidos.

A PKI é mais do que apenas criptografia - trata-se de estabelecer uma cadeia de confiança.

Um bom recurso é "Windows Server 2008 PKI e Certificate Security por Brian Komar", descreve todos os vários cenários de PKI com os quais você provavelmente se importará. Você não precisa usar a CA da Microsoft para obter algo fora do livro.