====== 5.4 Ephemere Zertifikate ======

Kurzlebige Session-Zertifikate für erhöhte Sicherheit.

===== Konzept =====

  * Haupt-Zertifikat authentifiziert einmalig
  * Server stellt ephemeres Zertifikat aus
  * Ephemeres Zertifikat gilt nur für diese Session
  * Automatische Rotation alle X Minuten

===== Ablauf =====

<code>
1. Client → Server: Haupt-Zertifikat
2. Server validiert gegen CA
3. Server → Client: Ephemeres Zertifikat (signiert)
4. Client nutzt ephemeres Zertifikat für Requests
5. Nach Ablauf: Zurück zu Schritt 1
</code>

===== Konfiguration =====

<code javascript>
{
  "Security": {
    "EphemeralCertificate": {
      "Enabled": true,
      "ValidityMinutes": 15,
      "RotationBeforeExpiryMinutes": 2
    }
  }
}
</code>

===== Rotation =====

Der Client muss rechtzeitig ein neues ephemeres Zertifikat anfordern:

<code csharp>
// Prüfen ob Rotation nötig
if (ephemeralCert.NotAfter < DateTime.UtcNow.AddMinutes(2))
{
    ephemeralCert = await RequestNewEphemeralCert();
}
</code>

===== Vorteile =====

  * Kompromittiertes Zertifikat nur kurz gültig
  * Forward Secrecy
  * Minimierte Angriffsfläche

===== PQ-Crypto Bibliothek =====

Für die programmatische Erstellung ephemerer PQ-Zertifikate siehe:

  * [[de:int:pqcrypt:api:wvds-system-security-cryptography:x509certificates:certificaterequestextensions|CertificateRequest Extensions]]
  * [[de:int:pqcrypt:api:wvds-system-security-cryptography:providers:nativecryptoprovider|NativeCryptoProvider.CreateEphemeralCertificateAsync]]
  * [[de:int:pqcrypt:developer:integration|Integration Guide]]