* sgsax hates ssl certs
< Landon> indeed
< Landon> next time my servers cert expires I'm just going to make one
for 100 years or something ridiculously long
上述推理有什么问题吗?显然有人可能会在 100 年后强行破解它,但你如何确定什么是可接受的时间范围?
答案1
这很大程度上取决于您的证书的用途。如果证书用于识别特定网站,您可能可以创建一个有效期至该域名到期日的证书。域名续订后,您还可以续订 SSL 证书。
但是,如果您要为自己的 CA 制作根证书,则可能需要制作长期证书,以便您自己的 CA 生成的所有其他证书不会过早失效。 10 年左右可能就足够了。
所以,一切都取决于情况。
答案2
在 diffbeer703 的基础上构建,这是关于身份和完整性的。证书验证的身份是可信的,因为签名 CA 是可信的。如果 CA 签署了 100 个证书,这通常不是值得信任的行为,因此他们签署的证书不应该被信任。
服务器身份不可能保持不变,更不用说存在 100 年了。此外,如果服务器受到威胁,其证书可能会被盗并用于将另一台服务器标识为您的服务器。短期证书需要更频繁地进行证书验证,从而使服务器身份盗窃的威胁降低。
如果您管理整个链,那么就不会那么担心了,特别是如果唯一需要验证服务器身份的人是您。依赖服务器身份的人越多,CA 遵循良好的做法就越重要。
答案3
你能做到吗?当然可以——如果你要生成一次性自签名证书,用于日常业务或个人用途。如果你要为更严肃的事情设置 PKI,你需要了解更多相关问题。
PKI 不仅仅涉及加密——它还涉及建立信任链。
一个很好的资源是 Brian Komar 的《Windows Server 2008 PKI 和证书安全》,它描述了您可能关心的所有各种 PKI 场景。您无需使用 Microsoft 的 CA 即可从本书中获取信息。