W
В опасности утечки сертификата и последующего форджинга. По сути сертификат - единственная мера защиты
и какая тут разница 1 год или 50 лет? если он утёк на второй день?
Size: a a a
2020 January 25
PR
Это основа, на которой строится безопасность. Потому промежуточные сертификаты обычно недлинные, а корневые изолируют, чтобы снизить вероятность утечки.
PR
А это вопрос компромисса безопасности и удобства. Let’s encrypt выдаёт их вообще на 3 месяца, к примеру
F
Если вы хотите менять CA условно каждый год, какая разница на какой срок вы его выпускаете? Выпустите сертификат на 3 года, а меняйте раз в год.
PR
Просто потому что их быстро и легко обновлять.
W
А это вопрос компромисса безопасности и удобства. Let’s encrypt выдаёт их вообще на 3 месяца, к примеру
там замена сертов не требует рестарта всего подряд
PR
Если вы хотите менять CA условно каждый год, какая разница на какой срок вы его выпускаете? Выпустите сертификат на 3 года, а меняйте раз в год.
А как рассказать остальным, что старый сертификат уже недействителен? OCSP и CRL вещи опциональные. А вот экспирейшн - это такой топор, от которого не убежишь
PR
там замена сертов не требует рестарта всего подряд
Все равно надо вести реестр сертификатов или автоматизировать процессы рлллинга. Нетфлткс такую делал (лемур кажется), и не только он.
W
Все равно надо вести реестр сертификатов или автоматизировать процессы рлллинга. Нетфлткс такую делал (лемур кажется), и не только он.
это никак не отвечает на вопрос чем 50 хуже 1?
PR
ну и какая разница тут “год или 50”
Несложно заметить, что она в 50 раз :)
Какая вероятность, что за 50 дет у тебя утечёт ключ? А за год? Она есть? Если ее нет в твоём конкретном случае - сделай на 50, ну кто же запрещает :)
Какая вероятность, что за 50 дет у тебя утечёт ключ? А за год? Она есть? Если ее нет в твоём конкретном случае - сделай на 50, ну кто же запрещает :)
F
А как рассказать остальным, что старый сертификат уже недействителен? OCSP и CRL вещи опциональные. А вот экспирейшн - это такой топор, от которого не убежишь
Вы же не ждёте пока сертификат окончательно протухнет, чтобы начать его менять? Вы заменяете планово CA на всех компонентах, и какая разница при этом какой срок был у старого сертификата
W
Несложно заметить, что она в 50 раз :)
Какая вероятность, что за 50 дет у тебя утечёт ключ? А за год? Она есть? Если ее нет в твоём конкретном случае - сделай на 50, ну кто же запрещает :)
Какая вероятность, что за 50 дет у тебя утечёт ключ? А за год? Она есть? Если ее нет в твоём конкретном случае - сделай на 50, ну кто же запрещает :)
вопрос не в этом. “чем ключ на 50 лет хуже ключа на год, если ключ утёк на второй день?”
PR
Или ключ не утечёт, а его подберут. Просто втупую, перебором или атакой какого-то рода? Напомню, DES считался вполне надежным. Настолько, что американское Минобороны свои секреты им прикрывало. И где он сейчас?
E
Вы же не ждёте пока сертификат окончательно протухнет, чтобы начать его менять? Вы заменяете планово CA на всех компонентах, и какая разница при этом какой срок был у старого сертификата
при таком подходе разницы нет, но и выписывать пятидесятилетний не имеет смысла
PR
вопрос не в этом. “чем ключ на 50 лет хуже ключа на год, если ключ утёк на второй день?”
Ну это вопрос немного иного рода. Если ключ утёк на второй день - это или эпическая катастрофа (hsm украли) или огромная дыра в процессах и тут тебя уже ничего не спасёт - надо спешно перевыпускать все цепочки ключей и сертификатов и проводить расследование