Quando devo gerar uma nova chave privada para SSL?

Se as suas chaves forem strongs o suficiente para atender aos requisitos de segurança da CA a ser usada, não haverá motivo criptográfico strong para regenerar as chaves. Por outro lado, gerar novas chaves ao criar um CSR leva apenas um minuto e é considerado uma boa prática fazer o ciclo das chaves antigas regularmente, caso elas tenham sido comprometidas.

O impacto de coisas desagradáveis, como quando o quebrou o OpenSSL , é reduzido se você substituir as chaves regularmente. No ambiente de alta segurança, você gera as chaves em um sistema confiável com acesso a uma fonte aleatória de alta qualidade, mas a maioria das pessoas não se incomoda.

Se você precisar implantar a chave privada em um ambiente não confiável / parcialmente confiável, é recomendável criar uma nova vez a cada vez. Múltiplas chaves privadas em vez de certificados curinga são usadas para minimizar os riscos de comprometimento de chaves, portanto, apenas uma segurança de serviço é comprometida, não tudo.