Microsoftブログ: にいくつかの情報があります
Key length of 1024: Validity period = not greater than 6-12 months
Key length of 2048: Validity period = not greater than 2 years
Key length of 4096: Validity period = not greater than 16 years
編集:)わかりましたので、もう少し試してみましょう:
米国政府からのこの推奨事項 があり、これは3年を超えてはならないことを示しています。そして、有効期間は、それを「更新」するために必要な相互作用に関連している必要があります。より多くの人間の相互作用が必要であるほど、最長で3年です。
ブラジルでは、推奨事項は次のとおりです。 source
1024ビット、ソフトウェア生成:ソフトウェアに保存されている場合は1年、ハードウェア(トークン)に保存されている場合は2年
1024ビット、ハードウェア生成:ハードウェアに保存されている場合は3年
証明書の有効期限は、証明書の所有者が更新のために戻ってきてほしい日付に設定する必要があります。これはトレードオフの問題です。
- 更新操作ごとに、どこかで人間が何らかのアクションを起こすため、無視できないほどのコストがかかります。
- 商用CAは証明書の販売を伴うビジネスモデルを使用しており、頻繁な更新はより多くの収入を意味します。
- 証明書の有効期限により、対応するエントリをCRL(Certificate Revocation Lists)から削除できるため、証明書を実際に長く有効にしたくない。
- 一部の法域では、多くの場合あいまいで、時には完全に非合理的な理由により、特定の有効範囲を義務付けています。しかし、法は法です。
- 技術の進歩により公開鍵がクラック可能になる可能性があると推定する日付を超えて寿命が延びる証明書を作成したくない。
「キーの強度」には、その長さに応じてさまざまな「見積もり」があり、これらには、キーの有効期間の推奨が付属している場合があります。この種の仕事は10%の科学、90%が一種の占いである「教育された推測」です。多くのデータについては このサイト を参照してください。特に、NISTは、2048ビットのRSA鍵は少なくとも2030年までは問題ないはずであると述べています。ここにデータ。
実際には、キーの強度は実際の証明書の有効期間をはるかに超えています。エンドエンティティ証明書の一般的な有効期間は1〜3年です。中間CAの場合は5〜10年かかります。ルートCAの場合、2037年に有効期限が切れるようにします(つまり、将来的には可能な限り、運命的な Y2038問題 を超えないようにします)。