История изменений

Отзывают сертификат сразу

Да, все равно, на самом деле. Злоумышленник во время атаки просто заблокирует доступ к OCSP и CRL, и клиент даже не ругнется. Короткоживущий сертификат - самое простое решение.

Да и с какого перепугу новые сертификаты перестанут генериться, как только сервер взломали?

Они и не перестанут. Но когда ты обнаружишь взлом и его починишь, то твой сервер уязвим до тех пор, пока не истечет срок действия сертификата, валидного на момент взлома. И будет очень печально, если у него срок действия 2 года.

Отзывают сертификат сразу

Да, все равно, на самом деле. Злоумышленник во время атаки просто заблокирует доступ к OCSP и CRL, и клиент даже не ругнется. Короткоживущий сертификат самое простое решение.

Да и с какого перепугу новые сертификаты перестанут генериться, как только сервер взломали?

Они и не перестанут. Но когда ты обнаружишь взлом и его починишь, то твой сервер уязвим до тех пор, пока не истечет срок действия сертификата, валидного на момент взлома. И будет очень печально, если у него срок действия 2 года.