5.4 Efemerni certifikati

Kratkotrajni sesijski certifikati za povećanu sigurnost.

• Glavni certifikat autentificira jednom
• Server izdaje efemerni certifikat
• Efemerni certifikat vrijedi samo za ovu sesiju
• Automatska rotacija svakih X minuta

1. Klijent → Server: Glavni certifikat
2. Server validira prema CA
3. Server → Klijent: Efemerni certifikat (potpisan)
4. Klijent koristi efemerni certifikat za zahtjeve
5. Nakon isteka: Povratak na korak 1

{
  "Security": {
    "EphemeralCertificate": {
      "Enabled": true,
      "ValidityMinutes": 15,
      "RotationBeforeExpiryMinutes": 2
    }
  }
}

Klijent mora pravovremeno zatražiti novi efemerni certifikat:

// Provjera je li rotacija potrebna
if (ephemeralCert.NotAfter < DateTime.UtcNow.AddMinutes(2))
{
    ephemeralCert = await RequestNewEphemeralCert();
}

• Kompromitirani certifikat valjan samo kratko
• Forward Secrecy
• Minimizirana površina napada

Za programsko kreiranje efemernih PQ certifikata pogledajte:

• CertificateRequest Extensions
• NativeCryptoProvider.CreateEphemeralCertificateAsync
• Vodič za integraciju