Häufig gestellte Fragen
Чому термін дії сертифікатів останніми роками постійно скорочується?
Коли виявляється проблема безпеки з сертифікатами, правила для сертифікатів відповідно коригуються та посилюються. Однак нові правила не застосовуються ретроспективно, тобто вони застосовуються лише до сертифікатів, які були створені після того, як нові правила набули чинності. Старіші сертифікати, як і раніше, повинні бути прийняті як дійсні, навіть якщо вони були створені відповідно до старих правил.
Чим довше старий сертифікат залишається в обігу, тим більша ймовірність того, що хтось із відповідними знаннями та навичками натрапить на нього та використає його проблему безпеки. Тому ви не хочете мати тривалі терміни дії, оскільки якщо сертифікат потрібно відновити, його завжди потрібно відновити відповідно до поточних діючих правил, і це відбувається раніше, чим коротший його термін дії. У минулому терміни дії були занадто довгими, але це кілька разів призводило до проблем, коли RSA було зламано 768 бітами або коли було знайдено метод створення зіткнень SHA-1, що означає, що підписи на основі SHA-1 могли бути підроблені одразу. Тоді знадобилося занадто багато часу, щоб небезпечні сертифікати були вилучені з обігу, що призвело до різних уникнених атак.
До речі, оновлення стосується лише шлюзового сертифіката. Користувацькі сертифікати не потрібно оновлювати, якщо ви замінюєте сертифікат на шлюзі. Користувачам також не потрібна нова конфігурація. Насправді користувачі навіть не помічають такої заміни. На веб-серверах сьогодні це зазвичай відбувається автоматично і навіть частіше, оскільки веб-сертифікати часто дійсні лише максимум 90 днів.
