Vanliga frågor och svar
Varför har giltighetstiden för certifikat förkortats alltmer de senaste åren?
Varje gång ett säkerhetsproblem med certifikat upptäcks justeras och skärps reglerna för certifikat i enlighet därmed. De nya reglerna gäller dock inte retroaktivt, dvs. de gäller endast för certifikat som har skapats efter att de nya reglerna trätt i kraft. Äldre certifikat måste fortfarande accepteras som giltiga, även om de har skapats enligt äldre regler.
Ju längre ett gammalt certifikat är i cirkulation, desto större sannolikhet är det att någon med lämplig kunskap och färdigheter stöter på det och sedan utnyttjar dess säkerhetsproblem. Därför vill man inte ha långa löptider, eftersom om ett certifikat måste förnyas, måste det alltid förnyas i enlighet med de aktuella gällande reglerna och detta sker ju tidigare, desto kortare är dess löptid. Tidigare var löptiderna för långa, vilket flera gånger hade lett till problem när RSA knäcktes med 768 bitar eller när en metod hittades för att skapa SHA-1 kollisioner, vilket innebär att signaturer baserade på SHA-1 kunde förfalskas på en gång. Det tog då alldeles för lång tid innan osäkra certifikat inte längre var i cirkulation, vilket resulterade i olika undvikbara attacker.
Förnyelsen påverkar dock endast gatewaycertifikatet. Användarcertifikat behöver inte förnyas om du byter ut certifikatet på gatewayen. Användare behöver heller ingen ny konfiguration. Faktum är att användarna inte ens märker ett sådant byte. På webbservrar idag sker detta vanligtvis automatiskt och ännu oftare, eftersom webbcertifikat ofta bara är giltiga i maximalt 90 dagar.