Frage:
Wie lange soll ein Zertifikat gültig sein?
eckes
2012-03-02 17:27:17 UTC
view on stackexchange narkive permalink

Siehe Titel. Gibt es Quellen, in denen die Gültigkeitsdauer von Zertifikaten empfohlen wird (basierend auf Länge, Algo usw.)?

Ich bin besonders an der Gültigkeit von RSA-Zertifikaten interessiert ...

Zwei antworten:
Thomas Pornin
2013-08-13 01:58:36 UTC
view on stackexchange narkive permalink

Das Ablaufdatum für ein Zertifikat sollte auf das Datum festgelegt werden, an dem der Zertifikatsinhaber zur Erneuerung zurückkehren soll. Dies ist eine Frage von Kompromissen:

  • Jede Erneuerungsoperation beinhaltet irgendwo eine Aktion eines Menschen, daher entstehen Kosten, die nicht zu vernachlässigen sind.
  • Kommerziell CA verwendet ein Geschäftsmodell, das den Verkauf von Zertifikaten beinhaltet, und häufige Verlängerungen bedeuten mehr Einkommen.
  • Durch das Ablaufen von Zertifikaten können Sie die entsprechenden Einträge aus der CRL ( Certificate Revocation Lists ) entfernen Ich möchte nicht, dass Zertifikate wirklich lange leben.
  • Einige Gerichtsbarkeiten schreiben bestimmte Gültigkeitsbereiche aus Gründen vor, die oft unklar und manchmal völlig irrational sind. Aber das Gesetz ist das Gesetz.
  • Sie möchten keine Zertifikate erstellen, deren Lebensdauer über das Datum hinausgeht, an dem Sie schätzen, dass der öffentliche Schlüssel aufgrund des technologischen Fortschritts knackbar werden könnte.

Abhängig von seiner Länge gibt es verschiedene "Schätzungen" für die "Schlüsselstärke", die manchmal mit der Empfehlung der Schlüssellebensdauer einhergehen. Diese Art von Arbeit, wenn 10% Wissenschaft, 90% "Vermutungen erraten", was eine Art Wahrsagerei ist. Auf dieser Website finden Sie viele Daten. Insbesondere sagt NIST, dass ein 2048-Bit-RSA-Schlüssel bis mindestens zum Jahr 2030 in Ordnung sein sollte. Der Unterschied zwischen einem "möglicherweise knackbaren Schlüssel" und einem "möglicherweise nicht knackbaren Schlüssel" ist jedoch sehr unscharf. Erwarten Sie also keine harten Ergebnisse Daten hier.

In der Praxis übersteigt die Schlüsselstärke die tatsächliche Lebensdauer des Zertifikats bei weitem. Die typischen Lebensdauern für End-Entity-Zertifikate liegen zwischen einem und drei Jahren. machen Sie das fünf bis zehn Jahre für mittlere CA. Lassen Sie eine Stammzertifizierungsstelle im Jahr 2037 ablaufen (d. H. So weit wie möglich in der Zukunft, ohne jedoch das schicksalhafte Y2038-Problem zu überwinden).

woliveirajr
2012-03-02 18:25:57 UTC
view on stackexchange narkive permalink

Es gibt einige Informationen im Microsoft-Blog:

  Schlüssellänge von 1024: Gültigkeitsdauer = nicht länger als 6-12 Monate. Schlüssellänge von 2048: Gültigkeitsdauer = nicht länger als 2 Jahre Schlüssellänge von 4096: Gültigkeitsdauer = nicht länger als 16 Jahre  

Bearbeiten :) ok, also versuchen wir es noch einmal:

Es gibt diese Empfehlung der US-Regierung, die besagt, dass sie nicht länger als 3 Jahre dauern sollte. Und die Gültigkeitsdauer sollte sich auf die Interaktion beziehen, die zur "Erneuerung" erforderlich ist: Je mehr menschliche Interaktion erforderlich ist, desto länger dauert die Zeit bis zu 3 Jahren.

In Brasilien lautet die Empfehlung: Quelle

  • 1024 Bit, Software generiert: 1 Jahr bei Speicherung in Software und 2 Jahre bei Hardware (Token)

  • 1024 Bit, Hardware generiert: 3 Jahre bei Speicherung in Hardware

  • +1 für das Finden der gleichen Quelle wie ich bereits :-) Irgendwelche anderen?
    "Interaktion erforderlich, um zu erneuern" <- ist eine Usability-Messung, keine Sicherheitsmessung. Aus Sicherheitsgründen ist es buchstäblich so lange, wie lange wir uns ohne Kompromisse auf dasselbe Schlüsselpaar verlassen können.
    Eine letzte Sache, um auf den Android-Markt zu kommen, benötigt der Entwicklerschlüssel ein Mindestablaufdatum vom 22. Oktober 2033!
    Link zur Empfehlung der US-Regierung ist tot :-(


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...