Normalmente usaba certificados autofirmados, sin embargo, ahora necesito uno adecuado a un costo absolutamente mínimo.
Dado que crear una "autoridad de certificación" en makecert
realidad solo significa crear un par de claves públicas/privadas, parece bastante claro que crear un par de claves públicas/privadas a partir de dicha "autoridad de certificación" en realidad solo significa generar un segundo par de claves públicas/privadas y firmando ambos con la clave privada que pertenece a la "autoridad certificadora". Dado que las claves están firmadas, cualquiera puede verificar que provienen de la autoridad de certificación que creé, o si Verisign me dio el par, lo firman con una de sus propias claves privadas, y cualquiera puede usar la clave pública correspondiente de Verisign para confirmar a Verisign como la fuente de las llaves.
Teniendo esto en cuenta, no entiendo por qué Verisign o Godaddy solo tienen tarifas para planes anuales, cuando todo lo que realmente quiero de ellos es un único par de claves pública/privada firmada con una de sus claves privadas.
Claramente estoy entendiendo mal algo, ¿qué es? ¿Verisign retira sus pares de claves públicas/privadas periódicamente para que mi par de claves firmadas por Verisign "caduque" y necesite otras nuevas?
Editar: aprendí que el certificado tiene una fecha de vencimiento interna y también mantiene un valor interno que indica si se puede usar para firmar otros certificados (es decir, firmar otros pares de claves públicas/privadas almacenados como certificados). ¿No puedo obtener algunos (incluso uno) certificados sin firma firmados por alguien como Verisign que pueda usar para autenticación/cifrado sin una suscripción anual?
Respuesta1
Supongo que ponen una fecha de vencimiento en los certificados que emiten para mantenerse en el negocio.
Si desea probar una autoridad certificadora gratuita, pruebecertificado CAoInicioCom. Sin embargo, sus clientes podrían insistir en utilizar una autoridad de certificación más "conocida" como VeriSign.
Respuesta2
Los certificados deben tener fechas de vencimiento, porque parte de las buenas prácticas criptográficas es la gestión de claves. Aunque su clave privada está segura hoy, es posible que mañana se revele en alguna violación de la seguridad de los datos: cuanto más tiempo siga usando la clave, mayores serán las posibilidades de que eventualmente se vea comprometida.
Si existiera un certificado de tiempo ilimitado que especificara esa clave comprometida, alguien podría usar ese certificado con la clave comprometida para hacerse pasar por usted.para siempre. Con el mecanismo de vencimiento, solo pueden lograrlo hasta que caduque el certificado.
Respuesta3
Las tarifas anuales le permiten volver a emitir y actualizar su certificado en cualquier momento, una vez que haya realizado el proceso inicial. Sus certificados no caducan automáticamente cuando lo hace su suscripción; por ejemplo, incluso con nuestra suscripción anual, nuestros certificados tienen una caducidad de dos años (y los certificados raíz en los que se basan tienen más bien 10 años). Puede firmar sus propios certificados con él, y seguirán siendo válidos siempre que usted diga que deberían serlo, siempre y cuando hayan sido firmados con un certificado que fuera válido en ese momento. Según mi experiencia, la validación extendida de la cadena de certificados rara vez se realiza en navegadores y otros clientes SSL.
Las empresas de certificación expirarán los certificados en parte para obligarlo a mantenerse al día con los desarrollos de seguridad SSL (por ejemplo, pasar de 512 bits a 2048, o a EC en lugar de RSA), en parte para protegerlo a usted y a todos los demás en caso de que uno de sus certificados salga mal. o se guarda y se descifra mucho después de que usted cree que ya no está, en parte para revisarlo de vez en cuando, en caso de que cambie de nombre, cierre el negocio o lo que sea. Eso es parte de su cadena de confianza. Si se enteran temprano, pueden emitir una CRL de inmediato, pero si no, sus certificados antiguos caducarán naturalmente sin ningún esfuerzo adicional.
Y también es una fuente de ingresos, eso es negocio.
Asegúrese de obtener un certificado de firma de certificados si desea ser su propia CA y prepárese para algunos dolores de cabeza al agrupar todos los certificados de la cadena cuando vaya a usarlos.
Respuesta4
Dependiendo de la autoridad firmante, la verificación puede ser bastante extensa (y por lo tanto costosa para la autoridad). Esto aumentará el costo del certificado. Generalmente el costo del certificado variará según el nivel de verificación realizado. La nueva tecnología permite que una notificación de color en la barra de direcciones refleje alguna indicación del grado de confianza.
El certificado de la autoridad certificadora normalmente caducará aproximadamente cada diez años. Parte de este tiempo será necesario para implementar los certificados en la caché de certificados del navegador, por lo que es posible que no se utilicen durante el primer año o dos. Durante los últimos dos años no serán útiles ya que la clave de firma caducará antes de que caduque la clave firmada.
Al firmar su clave, la autoridad certificadora esencialmente dice que confiamos en el titular de este certificado para que usted también pueda confiar en él. Deberían verificar periódicamente esta confianza, de ahí una de las razones por las que los certificados caducan.
Las CRL, si se proporcionan y verifican, permiten a la autoridad firmante anunciar que ya no confían en el titular de la clave. Esto puede ocurrir por diversas razones; clave robada, clave emitida de manera inapropiada, clave que ya no se usa o alguna otra razón. La caducidad del certificado se puede utilizar para reducir el tamaño de la base de datos CRL.
Algunas autoridades firmantes emitirán certificados plurianuales. Es posible que esto solo esté disponible para certificados de renovación.
Una vez que comience a utilizar certificados, se comprometerá a mantener las relaciones de confianza involucradas. Esto incluirá la implementación de certificados de actualización periódicamente.