История изменений
Исправление Vovka-Korovka, (текущая версия) :
Отзывают сертификат сразу
Да, все равно, на самом деле. Злоумышленник во время атаки просто заблокирует доступ к OCSP и CRL, и клиент даже не ругнется. Короткоживущий сертификат - самое простое решение.
Да и с какого перепугу новые сертификаты перестанут генериться, как только сервер взломали?
Они и не перестанут. Но когда ты обнаружишь взлом и его починишь, то твой сервер уязвим до тех пор, пока не истечет срок действия сертификата, валидного на момент взлома. И будет очень печально, если у него срок действия 2 года.
Исходная версия Vovka-Korovka, :
Отзывают сертификат сразу
Да, все равно, на самом деле. Злоумышленник во время атаки просто заблокирует доступ к OCSP и CRL, и клиент даже не ругнется. Короткоживущий сертификат самое простое решение.
Да и с какого перепугу новые сертификаты перестанут генериться, как только сервер взломали?
Они и не перестанут. Но когда ты обнаружишь взлом и его починишь, то твой сервер уязвим до тех пор, пока не истечет срок действия сертификата, валидного на момент взлома. И будет очень печально, если у него срок действия 2 года.