5.4 Efemerni certifikati

Kratkotrajni sejni certifikati za povečano varnost.

• Glavni certifikat avtenticira enkrat
• Strežnik izda efemerni certifikat
• Efemerni certifikat velja samo za to sejo
• Samodejna rotacija vsakih X minut

1. Odjemalec → Strežnik: Glavni certifikat
2. Strežnik validira proti CA
3. Strežnik → Odjemalec: Efemerni certifikat (podpisan)
4. Odjemalec uporablja efemerni certifikat za zahteve
5. Po poteku: Nazaj na korak 1

{
  "Security": {
    "EphemeralCertificate": {
      "Enabled": true,
      "ValidityMinutes": 15,
      "RotationBeforeExpiryMinutes": 2
    }
  }
}

Odjemalec mora pravočasno zahtevati nov efemerni certifikat:

// Preveri če je potrebna rotacija
if (ephemeralCert.NotAfter < DateTime.UtcNow.AddMinutes(2))
{
    ephemeralCert = await RequestNewEphemeralCert();
}

• Kompromitiran certifikat je veljaven le kratek čas
• Forward Secrecy
• Minimizirana površina napada

Za programsko ustvarjanje efemernih PQ certifikatov glejte:

• CertificateRequest Extensions
• NativeCryptoProvider.CreateEphemeralCertificateAsync
• Vodnik za integracijo