====== 5.4 Efemerni certifikati ======

Kratkotrajni sesijski certifikati za povećanu sigurnost.

===== Koncept =====

  * Glavni certifikat autentificira jednom
  * Server izdaje efemerni certifikat
  * Efemerni certifikat vrijedi samo za ovu sesiju
  * Automatska rotacija svakih X minuta

===== Tijek =====

<code>
1. Klijent → Server: Glavni certifikat
2. Server validira prema CA
3. Server → Klijent: Efemerni certifikat (potpisan)
4. Klijent koristi efemerni certifikat za zahtjeve
5. Nakon isteka: Povratak na korak 1
</code>

===== Konfiguracija =====

<code javascript>
{
  "Security": {
    "EphemeralCertificate": {
      "Enabled": true,
      "ValidityMinutes": 15,
      "RotationBeforeExpiryMinutes": 2
    }
  }
}
</code>

===== Rotacija =====

Klijent mora pravovremeno zatražiti novi efemerni certifikat:

<code csharp>
// Provjera je li rotacija potrebna
if (ephemeralCert.NotAfter < DateTime.UtcNow.AddMinutes(2))
{
    ephemeralCert = await RequestNewEphemeralCert();
}
</code>

===== Prednosti =====

  * Kompromitirani certifikat valjan samo kratko
  * Forward Secrecy
  * Minimizirana površina napada

===== PQ-Crypto biblioteka =====

Za programsko kreiranje efemernih PQ certifikata pogledajte:

  * [[..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:certificaterequestextensions|CertificateRequest Extensions]]
  * [[..:..:..:pqcrypt:api:wvds-system-security-cryptography:providers:nativecryptoprovider|NativeCryptoProvider.CreateEphemeralCertificateAsync]]
  * [[..:..:..:pqcrypt:developer:integration|Vodič za integraciju]]