Der technische Grund besteht darin, die CRL-Größe unter Kontrolle zu halten: CRL listet die Seriennummern der widerrufenen Zertifikate auf, jedoch nur für Zertifikate, die ansonsten noch gültig wären und insbesondere nicht abgelaufen wären. Ohne eine Gültigkeitsdauer würden sich widerrufene Zertifikate auf unbestimmte Zeit ansammeln, was im Laufe der Zeit zu einer enormen CRL führen würde.

Da jedoch die Netzwerkbandbreite weiter zunimmt und der moderne Widerruf OCSP a verwendet > der nicht unter einer solchen Inflation leidet, ist dieser technische Grund nicht der Hauptgrund für das Ablaufen des Zertifikats. In der Realität verfallen Zertifikate aus folgenden Gründen:

• Trägheit: Wir legen Ablaufdaten fest, da wir immer Ablaufdaten festgelegt haben. Traditionen in der Informationssicherheit führen oft zu Dogmen: Wenn es um Sicherheit geht, fühlen sich die Menschen sehr gehemmt, wenn es darum geht, langjährige Gewohnheiten zu ändern, insbesondere wenn sie nicht verstehen, warum die Gewohnheit überhaupt langjährig ist. + weil es 1996 in Ordnung war). Aber sie tun es nicht. Ablaufdaten erzwingen Erneuerungen zu vorhersehbaren Zeitpunkten und ermöglichen eine schrittweise, proaktive Entwicklung.

• Verwirrung: Ablaufdaten können als Übersetzung der Reinigungspraktiken von angesehen werden frühere militärische Kryptosysteme vor dem Aufkommen des Computers, bei denen eine häufige Schlüsselerneuerung erforderlich war, um die Schwäche solcher Systeme zu bewältigen. Einige Leute denken, dass das Ablaufen von Zertifikaten diese Praxis irgendwie umsetzt (was veraltet ist, aber hey, Tradition ist Tradition).

• Interoperabilität: vorhandene implementierte Implementierungen von X.509 erwarten Zertifikate mit einem Ablaufdatum. Das Feld ist nicht optional. Darüber hinaus werden einige dieser Implementierungen Daten nach Januar 2038 verweigern (das ist das Problem Jahr 2038).

• Gier: Wenn Sie eine Zertifizierungsstelle im Verkauf von Zertifikaten sind, gefällt es Ihnen sehr gut, wenn die Leute jährlich eine neue kaufen müssen.

Obwohl das Zertifikat eine begrenzte Gültigkeitsdauer hat, kann es jederzeit widerrufen werden. Durch den Widerruf wird die Seriennummer dieses Zertifikats in eine Zertifikatsperrliste (CRL) aufgenommen. Jedes Zertifikat enthält einen Link zu einem Speicherort, an dem die letzte CRL vom Aussteller dieses Zertifikats veröffentlicht wurde. Dies bedeutet, dass der Inhaber oder Betreff dieses Zertifikats, wenn ein Zertifikat nicht mehr benötigt wird oder kompromittiert wird, den Widerruf beantragen kann. Während der Validierung einer Zertifikatskette werden alle Zertifikate überprüft, um festzustellen, ob sie widerrufen wurden. Wenn das Zertifikat in der Liste angezeigt wird, kann es nicht als vertrauenswürdig eingestuft werden.

Zertifikate haben aus mehreren Gründen eine Gültigkeitsdauer. Erstens die Schlüssellänge. Die Gültigkeitsdauer ist so eingestellt, dass die Schlüssellänge des Zertifikats während der Gültigkeitsdauer dieses Zertifikats nicht "theoretisch" unterbrochen wird. Außerdem sollten Schlüssel neu generiert und nicht neu ausgegeben werden. Dies kann mithilfe der X.509-Erweiterung für die Verwendung privater Schlüssel erzwungen werden.

Zweitens hat in einer Zertifikatkette das vertrauenswürdigste Zertifikat die längste Schlüssellänge. Wenn Sie sich Stammzertifikate ansehen, werden Sie feststellen, dass diese normalerweise mindestens 4096-Bit-RSA-Schlüssel haben. Die Gültigkeitsdauer des Zertifikats ist ebenfalls länger. Für ein Stammzertifikat liegt es zwischen 10 und 20 Jahren. Dies hängt stark von der Hierarchie der PKI ab. PKI-Hierarchien bestehen normalerweise aus zwei oder drei Ebenen. Z.B. RootCA-> PolicyCA-> IssuanceCA oder RootCA-> IssuanceCA. Der private Schlüssel der Zertifizierungsstelle sollte nur für die Hälfte der Gültigkeitsdauer des Zertifikats verwendet werden. Wenn wir eine dreistufige Hierarchie verwenden, sind die Gültigkeitszeiträume der Zertifikate wie folgt:

Stammzertifizierungsstelle (20 Jahre) -> Richtlinienzertifizierungsstelle (10 Jahre) -> Ausstellende Zertifizierungsstelle (5 Jahre) -> Endunternehmen (max. 2 Jahre).

Der Verwendungszeitraum für private Schlüssel für die Zertifizierungsstelle beträgt:

Stammzertifizierungsstelle (10 Jahre) -> Richtlinienzertifizierungsstelle (5 Jahre) -> Ausstellende Zertifizierungsstelle (maximal 2 Jahre).

Der Grund dafür ist, dass kein unter der Stammzertifizierungsstelle ausgestelltes Zertifikat ungültig wird, da das übergeordnete Zertifikat ungültig geworden ist. Im obigen Beispiel ist das 2. Zertifikat für die Richtlinienzertifizierungsstelle ungültig ausgestellt unter dem 2. Schlüssel der Stammzertifizierungsstelle, obwohl das erste Zertifikat der Stammzertifizierungsstelle noch gültig ist. Das zweite Zertifikat der Stammzertifizierungsstelle wird nach 10 Jahren unmittelbar vor dem zweiten Zertifikat der Richtlinienzertifizierungsstelle ausgestellt.

Es begrenzt die Zeit, die der Dieb für die Verwendung eines gestohlenen Zertifikats benötigt. Zertifikatswiederherstellungslisten sind vorhanden, funktionieren jedoch nur, wenn der Zertifikatsinhaber (oder -aussteller) das Zertifikat tatsächlich bemerkt und handelt, um es zu widerrufen.

Obwohl ich nicht sicher bin, ob sich Ihre Frage nur auf Zertifikate bezieht, die mit dem HTTPS-Protokoll verwendet werden, oder allgemeiner, gibt es Nicht-Web-Anwendungen, bei denen die Ablaufzeit ins Spiel kommt.

Zum Beispiel ich Ich bin auf Systeme gestoßen, bei denen Zertifikate intern als vorübergehende Authentifizierungsmethode verwendet wurden, ähnlich wie bei einem Sitzungstoken, bei dem die ausstellende Zertifizierungsstelle keine Aufzeichnungen über die von ihr ausgestellten Zertifikate hatte und daher keine Möglichkeit hatte, sie zu widerrufen.

Die einzige einfache Minderung bestand darin, die Gültigkeitsdauer drastisch zu verkürzen, was ohnehin keinen Grund hatte, langfristig zu sein, da ständig neue Zertifikate ausgestellt wurden.

Im Falle eines Kompromisses die

• Öffnung der Sicherheitslücke (oder die Möglichkeit des Kompromisses)
• der echte Kompromiss
• der Abschluss des Kompromisses
• Verwendung des Kompromisses

Dies sind 4 verschiedene Handlungen, die meist zu sehr unterschiedlichen Zeiten und nicht immer in dieser Reihenfolge stattfinden.

Durch das Ablaufen der Zertifikate wird die Wahrscheinlichkeit eines erfolgreichen Angriffs durch die signifikante Verkürzung des nutzbaren Zeitintervalls für die Angreifer verringert.