長期間有効なTLS接続はセキュリティリスクをもたらしますか?
証明書の失効に関して、長寿命(時間、日)のTLS接続を維持することの影響をよりよく理解したいと思います。私がTLSを理解しているように、クライアントはハンドシェイク中にサーバーの証明書を検証し、接続中は二度と検証しません。
長期間有効な接続を確立した後、サーバーの証明書が取り消された場合、OCSPを使用して取り消しをチェックするクライアントは、サーバーへの新しい接続が次に確立されるまで、サーバーの証明書が取り消されたことを発見しないと思います。接続が開いている間、クライアントはバックグラウンドスレッドで定期的にサーバーの証明書のステータスを確認できると思いますが、この方法で失効を確認することを推奨するガイダンスには詳しくありません。
一般に、存続期間の長いTLSクライアントは証明書失効のリスクをどのように軽減しますか?新しいハンドシェイクを強制するために定期的に接続を再確立していますか?
これに関する詳細情報を探す場所の1つは、SSL/TLSを使用するVPNです。
たとえば、OpenVPNでは、クライアント接続がアクティブな場合、明示的に強制終了する必要があります。
"...そして、新しく接続したクライアントに対して新しいCRLがすぐに有効になるようにします。取り消す証明書のクライアントがすでに接続されている場合は、シグナル(SIGUSR1またはSIGHUP)を使用してサーバーを再起動し、すべてのクライアントをフラッシュするか、または管理インターフェースにtelnetで接続し、特定のクライアントを明示的に強制終了します... "
https://openvpn.net/community-resources/revoking-certificates/
残念ながら、クライアントはサーバー証明書をチェックしていません。