Службы сертификации
Срок действия центра сертификации и выдаваемых им сертификатов
Центры сертификации (CA) Windows 2000 при выпуске сертификатов придерживаются определенного правила. В соответствии с этим правилом, когда центр сертификации (CA) выпускает сертификат, он гарантирует, что срок действия нового сертификата не будет превышать срок действия собственного сертификата центра сертификации (CA). Если собственный сертификат центра сертификации (CA) действителен в течение 6 месяцев, то максимальный срок действия нового сертификата, который выпустит этот центр сертификации (CA) также будет равен 6 месяцам. Это гарантирует то, что когда срок действия сертификата центра сертификации (CA) истечет, сроки действия всех сертификатов, которые выпустил данный центр сертификации (CA) также истекут. В случае, если необходимо, чтобы центр сертификации (CA) выдавал сертификаты сроком на 1 год, а его собственный сертификат при этом действителен только на 1 год или менее одного года, то необходимо будет каждый раз обновлять центр сертификации (CA), для того, чтобы он мог выпускать новые сертификаты сроком на 1 год.
Сертификаты корневого центра сертификации (CA)
Корневой центр сертификации (CA) (который, вероятно, является автономным центром сертификации (СА)) должен иметь надежный сертификат. Из-за высокой стоимости распространения, может возникнуть желание просто создать очень большой ключ и установить очень большой срок действия сертификата. Слабая сторона этого подхода в том, что чем дольше сертификат является действительным, тем больше неуверенность в его надежности, что обуславливается постоянными развитиями в технологиях, особенно в криптоанализе.
Существует альтернатива созданию очень большого ключа и выпуска сертификата с этим ключом с длительным сроком действия. Если у корневого центра сертификации (CA) есть два сертификата с одинаковыми именем владельца и ключом, но с различными сроками действия, то приложения могут использовать любой из них для проверки сертификатов, выпущенных центром сертификации (CA). Это упрощает требования к распространению сертификатов. Если центр сертификации (CA) для своего обновления использует тот же ключ, что и раньше, то нет необходимости всем зависящим сторонам предварительно получать новый сертификат для проверки сертификатов подписанных этим новым сертификатом. Распространение нового корневого сертификата может происходить в любое время после того, как сертификат был создан и особенно после того, как новый корневой сертификат использовался для выпуска новых сертификатов.
Работа администратора успроститься, если ему не придется постоянно гадать о сроках действия сертификатов. Этого можно добиться путем создания ключа большой длины, который, к тому же, будет иметь длительный срок действия, а затем созданием сертификатов, у которых срок действия будет меньше чем срок действия ключа. Например, создайте RSA ключ длиной 4096-бит (с приблизительным сроком действия 20 лет) и используйте его для создания сертификатов, срок действия которых будет составлять 5 лет. Сертификат может обновляться тем же ключом каждые 4 года, при этом срок действия его будет равен тем же 5 годам. Ключ может использоваться в течение 20 лет, но при каждом обновлении сертификата администратору придется определять, можно ли будет текущий ключ безопасно использовать в течение следующих пяти лет.
Центры сертификации (CA), выдающие сертификаты конечным пользователям и компьютерам
Центры сертификации (CA), выдающие сертификаты конечным пользователям и компьютерам, сталкиваются с задачами, отличными от тех, что были рассмотрены ранее для центров сертификации (CA), выдающих сертификаты для корневого центра сертификации (CA). Подход к обновлению также отличается. Эти центры сертификации (CA) обрабатывают запросы сертификатов, поступившие от пользователей, и публикуют состояние отзыва сертификата. Отзыв конечных сертификатов происходит чаще, чем отзыв сертификата центра сертификации (CA). Это означает, что срок действия ключей значительно короче, а количество сертификатов, которыми необходимо управлять, значительно выше. При этом у центра сертификации (CA), выдающего конечные сертификаты, количество отозванных сертификатов значительно выше, чем у центра сертификации (CA), который выпускает сертификаты только для центров сертификации (СА).
Рекомендуется часто обновлять сертификат центра сертификации (CA) новым ключом. Тем самым атака злоумышленника на ключ принесет ему меньше пользы и причинит меньше вреда атакуемому. При создании нового ключа также создается новая точка CDP. Это гарантирует то, что ключ, используемый для подписания сертификата, также соответствует ключу, используемому для подписания списка CRL. Создание дополнительных точек CDP означает, что вместо одного большого списка CRL создано множество маленьких списков CRL, что приводит к сокращению времени загрузки индивидуальных списков CRL. (Такой процесс создания большого количества маленьких списков CRL вместо одного большого известен как разделение списка CRL). Клиенты (как компьютеры, так и пользователи) могут определить, правильный ли у них список CRL, путем проверки подписи списка CRL. Такая проверка обеспечивает большую надежность при работе с другими клиентами.