* sgsax hates ssl certs < Landon> indeed < Landon> next time my servers cert expires I'm just going to make one for 100 years or something ridiculously long 上述推理有什么不妥之处吗? 显然有人可能会在100年内蛮横,但你怎么确定什么是可接受的时间框架?
这很大程度上取决于你的证书是什么。 如果是为了识别一个特定的网站,你可以创build一个持续到该域名到期的date。 域名更新后,您也可以续签SSL证书。
但是,如果您为自己的CA制作根证书,则可能需要制定长期证书,以便由您自己的CA生成的所有其他证书不会过早失效。 像10年的东西可能是好的。
所以,这一切都取决于。
build立在diffbeer703上,这是关于身份和诚信。 证书validation的身份是可信的,因为签名CA是可信的。 如果CA签署了100个证书,那通常不是可信的行为,所以他们签署的证书不应该被信任。
服务器身份不太可能保持不变,更不用说100年了。 另外,如果服务器受到威胁,其证书可能会被盗用,并用于识别另一台服务器。 短期证书使证书validation更为频繁,从而使得服务器身份盗窃不再成为威胁。
如果你pipe理整个链,那么更不用担心,特别是如果唯一需要validation服务器身份的人是你。 依靠服务器身份的人越多,CA所遵循的最佳实践就越重要。
你可以做到吗? 当然 – 如果你生成的一次性自签名证书是一个微不足道的业务或个人使用。 如果你打算为更严重的事情build立一个PKI,你需要了解更多有关的问题。
PKI不仅仅是encryption – 关于build立一个信任链。
一个很好的资源是“Brian Komar的Windows Server 2008 PKI和证书安全性”,描述了您可能关心的所有各种PKI场景。 你不需要使用微软的CA来从本书中获得一些东西。