1)SSL証明書が期限切れになるのはなぜですか?
証明書の有効期限が切れると、基本的に、この公開鍵と秘密鍵のペアが破棄されたと言います。技術的には、この証明書を使用してデータを暗号化することはできますが、有効期限は、特に失効を軽減するためにあります。ただし、X.509仕様には、有効期限の概要が示されている特定の理由があります。
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
CAは、証明書に関する失効ステータス情報を公開します。つまり、CAはそれらを追跡する必要があります。証明書の有効期限が切れると、CAは証明書の期間中その役割を果たし、その証明書の情報の追跡を停止します。基本的に、この証明書が有効であると権限を持って言うためにCAに支払います。
有効期限が切れる理由は他にもあります。2002年に署名された証明書をまだ使用している場合(これは可能です)、暗号化のレベルはおそらく現在使用されている標準に達していません。証明書のエンドポイントを設定することにより、アップグレードが必要な日付も設定します。
もちろん、有効期限の背後にある最大の動機の1つがお金[要出典]であることを否定することはできないと思いますが、その背後には少なくともいくつかの技術的で合理的なアイデアがあります。
2)組織に必要なSSL証明書の数/組織が決定するのに役立つ推進要因は何ですか?
それはあなたの組織に依存します。従来のSSL証明書はドメイン名と照合されます。ただし、キーペア(開発者証明書など)を使用して署名することはできます。したがって、SSLの場合、保護するドメインの数によって異なります。従来の証明書の場合、www.domain.comとexample.domain.comは完全に異なるエンティティです。ワイルドカード証明書など、ビジネスのニーズに応じて購入できる他の種類の証明書があります。真剣に、あなたは信じられないほど複雑または信じられないほど単純になることができます。Webサイトを保護するための基本的なタイプとさまざまなタイプの概要を次に示します。SSL証明書のタイプ
3)個別の証明書を取得するのではなく、「証明書ツリー」にはどのような利点がありますか?
基本的に、このCAを信頼して証明書を生成すると言っています。そのため、ブラウザは証明書を受け入れるためにルートCAをインストールする必要があります。彼らは、「この当局は、有効で信頼できる情報源の証明書にのみ署名していると信じています」と言っています。
実際には、多くのCAが発行前に証明書を誰に提供しているかを厳密にチェックしていないため、実際にはそうではありません。常にではありませんが、それは危険の一部を軽減します。問題は、CAルート証明書の秘密鍵が危険にさらされた場合です。これは、だれでも正当な証明書を偽造できるためです。
うまくいけば、これはあなたの質問のいくつかに答えます。