Reflect new certificate conditions in documentation

This commit is contained in:
Jan Philipp Timme 2018-09-17 16:41:31 +02:00
parent 4b1f2e189c
commit 75a49dfa59

View File

@ -306,20 +306,15 @@ Benutzername wäre eine eindeutige Angabe, ist garantiert eindeutig.
Gleichzeitig kann man argumentieren, dass diese häufig pseudonym sind und die Zuordnung von Benutzername zu Person nicht immer trivial ist.
Datenschutzrechtlich sollte das gerade so okay sein.
Wie begründe ich eine empfohlene maximale Laufzeit für ausgestellte Zertifikate von 2 Jahren?
Laufzeit für Serverzertifikate?
Die vollen 10 Jahre sind zu viel.
Es ist eine gute Idee, nach maximal 2 Jahren neue Zertifikate auszustellen.
Tut auch nicht weh. Neu ausstellen, Dienst neustarten, fertig.
Veto von Herrn Wohlfeil: Voller Name und Hochschul-E-Mail-Adresse werden in die Zertifikate geschrieben.
Laufzeit für Serverzertifikate? 5 Jahre
Laufzeit für Clientzertifikate individuell oder je nach Zielgruppe?
Studenten bekommen maximal 6 Monate (immer bis zum Ende des Semesters oder 6 Monate? Kann man ggf. noch anpassen.).
Mitarbeiter mit der selben Laufzeit zu versorgen würde den Prozess vereinfachen.
Begründete Ausnahmefälle mit einer Laufzeit von maximal 2 Jahren sollte okay sein.
Studenten bekommen 2 Jahre (4 Semester)
Mitarbeiter bekommen 5 Jahre
Laufzeit der CA - sinnvolle Werte?
10 Jahre ist akzeptabel. Wenn man die Laufzeit bestehender Zertifikate im Auge behält, kann der Wechsel einer CA zu einem Stichtag hin funktionieren.
20 Jahre. Wenn man die Laufzeit bestehender Zertifikate im Auge behält, kann der Wechsel einer CA zu einem Stichtag hin funktionieren.
Von der CA ausgestellte Zertifikate können nicht länger gültig sein als das Wurzelzertifikat der CA selbst.
Gültigkeitsdauer der CRL - falls Zertifikate überhaupt zurückgezogen werden sollen: maximal 180 Tage, kann ja vorher jederzeit aktualisiert werden (Cronjob oder so)