Hur lång giltighetstid ska CA certifikat ha?

Ett certifikat (elektronisk legitimation) har en viss giltighetstid. Beroende hur lång tid man vill ha, måste utgivaren kallad Certificate Authority (CA) ha en längre giltighetstid på sitt certifikat.

Många PKI-miljöer och CA:s är (för)konfigurerade för att hantera utgivna certifikat som bara är giltiga ett eller två år innan de ska förnyas. Det kan gälla maskincertifikat eller användarcertifikat (mjuka på fil eller hårda på smarta kort).

Fler och fler organisationer börjar nu kombinera smarta kort och SIS-godkända legitimationer. Ett SIS-kort gäller i fem år, sedan måste ett nytt kort beställas. Det kan då för enkelhetens skull vara bra att även ha ett certifikat som gäller i fem år på samma kort.

Problem 1: Att alltid få rätt giltighetstid
Säg att vi har en CA som utfärdar användarcertifikat. När man utfärdar ett certifikat med en giltighetstid på fem år måste CA:ns certifikat alltid vara giltig minst lika länge. Annars får det utfärdade certifikatet en kortare giltighetstid, ty det kan inte vara längre än CA:ns. Detta är en begränsning i Microsoft CA. Enligt X.509 standarden ( http://www.ietf.org/rfc/rfc5280.txt ) är det tillåtet, men då går det ju inte att verifiera certifikatskedjan.

I vårt exempel måste alltså sub CA certifikatet vara giltigt i 10 år. Detta gör att man kan skapa 5-åriga användarcertifikat när som helst under de första 5 åren på en sub CA:s giltighetstid.

Problem 2: 6-årsdagen
Efter att CA certifikatet passerat sin 5-årsdag blir det problem. Om man år 6 försöker utfärda ett 5-årigt certifikat, då är det ju bara 4 år kvar på CA:ns giltighetstid och kan därför bara utfärda max 4-åriga certifikat.

Lösningen är att förnya CA certifikatet efter halva giltighetstiden, alltså efter 5 år. Det nya CA certifikatet får en ny giltighetstid på 10 år.

Root CA
Säg att vi även har en root CA. Denna bör då analogt ha dubbla giltighetstiden jämfört med sin sub CA och ska också förnyas efter halva tiden.

1. Root CA (20 år)
2. Sub CA (10 år)
3. Användarcertifikat (5 år)

Varje utfärdande CA måste få sitt eget certifikat förnyat efter halva tiden. Det är okej att göra det oftare, men aldrig mer sällan.

I ovanstående fall ska sub CA:n förnyas vart 5:e år. Eller kanske efter 4 år och 10 månader för att inte vara ute i sista stund med risk att man drar över tiden. De kan vara lämpligt att alltid förnya root CA:n vid samma tidpunkt, så att man inte missar det någon gång.

Vissa organisationer har en root CA på 20 år och har ingen rutin att förnya den, med argument att PKI-miljön aldig kommer leva så länge. Tänk bara på hur många legacysystem som finns idag? Genom att förnya root CA certifikatet vart 5:e år så hanteras det oavsett hur länge miljön lever.

Uppdaterar man inte CA certifkaten rätt och i tid, går det inte validera hela certifikatskedjan och användaren/maskinen ges inte access.

Konfigurera rätt
Tänk på att CA applikationen måste anpassas för de förlängda giltighetstiderna. Microsoft CA sätter dessa tider i mallar samt har en global inställning i registret som anger maxtiden på ett utgivet certifikat (default 2 år). Många timmar i felsökning kan gå åt om man inte känner till detta. Se även http://support.microsoft.com/kb/254632

Glöm inte lägga in alla förnyade CA certifikat i Trusted Roots.

/Anders Helgesson

0 kommentarer :: Hur lång giltighetstid ska CA certifikat ha?

Skicka en kommentar