1) Почему сертификаты SSL истекают?
Когда срок действия сертификата истекает, вы в основном говорите, что эта открытая/закрытая ключевая пара была оставлена. Технически вы все равно можете использовать этот сертификат для шифрования данных, но дата истечения срока действия заключается в смягчении рекогносцировки между прочим. Кроме того, однако, в X.509 спецификациях есть конкретные причины, изложенные по истечению:
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
УЦ публикует информацию о состоянии отзыва о сертификате, и это означает, что они должны следить за ними. Когда срок действия сертификата истекает, ЦС выполнил свою часть на срок действия сертификата и прекратил отслеживать информацию для этого сертификата. Вы, по сути, платите ЦС, чтобы сказать с полномочиями, что этот сертификат действителен.
Есть и другие причины для истечения срока. Если бы я все еще пользовался сертификатом, подписанным в 2002 году (что было бы возможно), уровень шифрования, вероятно, не соответствовал бы стандартам, используемым сегодня. Установив конечную точку для сертификата, вы также устанавливаете дату, которую необходимо обновить.
Теперь, конечно, я не думаю, что вы можете отрицать, что один из самых больших мотиваторов, стоящих за истечением срока, - деньги [править], но позади есть хотя бы некоторые технические и разумные идеи.
2) Сколько сертификатов SSL требуется организации или какие факторы движения помогают им решить?
Это зависит от вашей организации. Традиционный сертификат SSL сопоставляется с доменным именем.Тем не менее, все может быть подписано с помощью пары ключей (сертификаты разработчика и т. Д.). Таким образом, для SSL это будет зависеть от количества доменов, которые вы хотите защитить. Для традиционного сертификата www.domain.com и example.domain.com являются совершенно разными объектами. Существуют и другие типы сертификатов, которые можно приобрести, например, подстановочные сертификаты и т. Д., Которые будут зависеть от потребностей вашего бизнеса. Серьезно, вы можете стать невероятно сложным или невероятно простым. Вот краткое изложение на некоторых из основных и различных типов для защиты веб-сайт: SSL Certificate Types
3) Какие преимущества [имея] «Certificate Tree» обеспечить, а не просто получать отдельные сертификаты?
Вы в основном говорите, что доверяете этому ЦС генерировать сертификаты. Вот почему браузеру необходимо установить корневой ЦС для принятия сертификата. Они говорят: «Я доверяю, что этот орган только подписал сертификаты для достоверных и надежных источников».
На практике это заканчивается тем, что многие ЦС строго не проверяют, кому они выдают сертификаты до выдачи. Не всегда, но это смягчает некоторую опасность. Проблема заключается в том, что закрытый ключ CA корневого сертификата скомпрометирован, потому что тогда любой может подделать законный сертификат.
Надеюсь, это ответит на некоторые из ваших вопросов.
Вы также можете быть заинтересованы в [это] (http://security.stackexchange.com/q/6737/2435) и [это] (http://security.stackexchange.com/a/13690/2435) , (Существует ряд вопросов по [ssl tag] (http://security.stackexchange.com/questions/tagged/ssl) на Security.SE, которые могут быть актуальны, по сути.) – Bruno