5.4 Ephemere Zertifikate

Kurzlebige Session-Zertifikate für erhöhte Sicherheit.

• Haupt-Zertifikat authentifiziert einmalig
• Server stellt ephemeres Zertifikat aus
• Ephemeres Zertifikat gilt nur für diese Session
• Automatische Rotation alle X Minuten

1. Client → Server: Haupt-Zertifikat
2. Server validiert gegen CA
3. Server → Client: Ephemeres Zertifikat (signiert)
4. Client nutzt ephemeres Zertifikat für Requests
5. Nach Ablauf: Zurück zu Schritt 1

{
  "Security": {
    "EphemeralCertificate": {
      "Enabled": true,
      "ValidityMinutes": 15,
      "RotationBeforeExpiryMinutes": 2
    }
  }
}

Der Client muss rechtzeitig ein neues ephemeres Zertifikat anfordern:

// Prüfen ob Rotation nötig
if (ephemeralCert.NotAfter < DateTime.UtcNow.AddMinutes(2))
{
    ephemeralCert = await RequestNewEphemeralCert();
}

• Kompromittiertes Zertifikat nur kurz gültig
• Forward Secrecy
• Minimierte Angriffsfläche

Für die programmatische Erstellung ephemerer PQ-Zertifikate siehe:

• CertificateRequest Extensions
• NativeCryptoProvider.CreateEphemeralCertificateAsync
• Integration Guide