Eu normalmente usava certificados auto-assinados, mas agora eu preciso de um apropriado com um custo absolutamente mínimo.
Como criar uma "autoridade de certificação" com makecert significa apenas criar um par de chaves pública / privada, parece bastante claro que criar um par de chaves pública / privada a partir dessa "autoridade de certificação" significa apenas gerar uma segunda par de chaves pública / privada e assinando ambos com a chave privada que pertence à "autoridade de certificação".
Como as chaves são assinadas, qualquer um pode verificar se vieram da autoridade de certificação que eu criei ou se a Verisign me deu o par que eles assinaram com uma de suas próprias chaves privadas e qualquer um pode usar a chave pública correspondente da Verisign para confirmar a verisign como fonte de as chaves.
Devido a isso, não entendo por que a Verisign ou a Godaddy só têm taxas para planos anuais, quando tudo que eu realmente quero deles é um único par de chaves pública / privada assinado com uma de suas chaves privadas.
É evidente que estou entendendo mal alguma coisa, o que é isso? A Verisign retira periodicamente seus pares de chaves pública / privada para que meu par de chaves assinado pela Verisign "expire" e eu precise de novos pares?
Editar: Aprendi que o certificado tem uma data de expiração interna e também mantém um valor interno informando se ele pode ser usado para assinar outros certificados (ou seja, assinar outros pares de chaves particulares / públicos armazenados como certificados). Não posso obter alguns (mesmo um) certificado sem assinatura assinado por alguém como a Verisign que eu possa usar para autenticação / criptografia sem uma assinatura anual?
Suponho que eles ponham uma data de expiração nos certificados que emitem, para se manterem em atividade.
Se você quiser experimentar uma autoridade de certificação gratuita, tente CAcert ou StartCom . No entanto, seus clientes podem insistir em usar uma autoridade de certificação mais "conhecida" como a VeriSign.
Os certificados precisam ter datas de expiração, porque parte da boa prática de criptografia é o gerenciamento de chaves. Embora sua chave privada esteja segura hoje, ela pode ser divulgada em alguma violação de segurança de dados amanhã - quanto mais você continuar usando a chave, maior a chance de que ela acabe sendo comprometida.
Se houvesse um certificado ilimitado em tempo especificando essa chave comprometida, alguém poderia usar esse certificado com a chave comprometida para fingir que você era para sempre . Com o mecanismo de expiração, eles só podem fazer isso até que o certificado expire.
As taxas anuais permitem que você reedite e atualize seu certificado a qualquer momento, depois de passar pelo processo inicial. Seus certificados não expiram automaticamente quando sua assinatura é válida; por exemplo, mesmo com nossa assinatura anual, nossos certs têm uma expiração de dois anos (e os certificados raiz nos quais eles se baseiam são mais de 10 anos). Você pode assinar seus próprios certificados com ele e eles ainda serão válidos, desde que você diga que eles devem ser, contanto que eles sejam assinados com um certificado válido na época. A validação estendida da cadeia cert é raramente realizada em navegadores e outros clientes SSL, na minha experiência.
Empresas cert irão expirar certificados parcialmente para forçá-lo a acompanhar desenvolvimentos de segurança SSL (por exemplo, passando de 512 bits para 2048, ou para EC em vez de RSA), em parte para proteger você e todos os outros caso um de seus O certs sai ou é salvo e quebrado muito depois de você pensar que desapareceu, em parte para revê-lo de vez em quando, no caso de você mudar de nome, sair do negócio ou o que quer que seja. Isso é parte da cadeia de confiança deles. Se descobrirem cedo, podem emitir uma CRL imediatamente, mas se não, seus antigos certificados expirarão naturalmente sem nenhum esforço extra.
E também é um fluxo de receita, isso é negócio.
Certifique-se de obter um certificado de assinatura de certificado se desejar ser sua própria CA e esteja preparado para algumas dores de cabeça, reunindo todas as certs na cadeia quando for utilizá-las.
Dependendo da autoridade de assinatura, a verificação pode ser bastante extensa (e, portanto, cara para a autoridade). Isso aumentará o custo do certificado. Geralmente, o custo do certificado varia de acordo com o nível de verificação. A nova tecnologia permite alguma indicação do grau de confiança a ser refletido por uma notificação colorida na barra de endereço.
O certificado da autoridade de certificação geralmente expira a cada dez anos ou mais. Algum desse tempo será necessário para obter os certificados implantados no cache de certificados do navegador, para que eles não sejam usados no primeiro ou no segundo ano. Durante o último ano ou dois, eles não serão úteis, pois a chave de assinatura expirará antes que a chave assinada expire.
Ao assinar sua chave, a autoridade de certificação está basicamente dizendo que confiamos no detentor deste certificado para que você também possa confiar neles. Eles devem verificar periodicamente essa confiança, portanto, uma das razões pelas quais os certificados expiram.
As CRLs, se fornecidas e verificadas, permitem que a autoridade de assinatura anuncie que não mais confia no proprietário da chave. Isso pode ocorrer por vários motivos; chave roubada, chave emitida indevidamente, chave não é mais usada, ou algum outro motivo. A expiração do certificado pode ser usada para reduzir o tamanho do banco de dados da CRL.
Algumas autoridades de assinatura emitem certificados de vários anos. Isso pode estar disponível apenas para certificados de renovação.
Depois de começar a usar os certificados, você se comprometerá a manter as relações de confiança envolvidas. Isso incluirá a implantação de certificados de atualização periodicamente.