以前にhttps://www.google.co.uk/の背後にある証明書を調べていたところ、通常どおり、証明書は2013年までに1年後に期限切れになるように設定されていることに気付きました。
チェーンを調べたところ、ルート証明書であるGeoTrust証明書の有効期間は20年で、有効期限は2018年までであることがわかりました。
証明書に署名することの整合性は、署名する証明書よりも重要であるように思われるので、奇妙に思えます。ルートオーソリティが長期間存続しても問題ないのに、署名する証明書の有効期限が大幅に短くなる傾向があるのはなぜですか?
ルート署名証明書の秘密鍵は、通常、サーバー証明書の秘密鍵よりも保護されます。通常、個々のサーバー証明書は暗号化されずに問題のWebサーバーに保存されるため、サーバーは再起動後に人間の介入なしに復旧できます。ただし、署名キーはより安全に保持され、通常はパスフレーズで保護され、インターネットに接続されたサーバーでは保護されません。署名キーが危険にさらされると、発行されたすべての証明書が無価値になるためです。
十分に保護されていない秘密鍵を使用する証明書に短い有効期限を使用することは、基本的に、秘密鍵が危険にさらされた場合の損傷制限メカニズムです。