Na, ennek azért fussunk neki még egyszer. Az, aminek lejárati ideje van, az a kétkulcsú titkosítás PUBLIKUS kulcsa. Mindenkinek odaadod, boldog-boldogtalannak, mert annak nem baj ha kikerül, ez a dolga, a cert maga attól nem tud kompromittálódni, hogy a lejárós része kikerül. A privát kulcs kikerülése, és kizárólag az kompromittálja a certet, az pedig nem része magának a certnek (csak a közös modulus az).
A privát kulcsnak semmi metaadata nincsen, se lejárata, se neve, se címe, se száma, semmije, egy darab bináris blob az egész. Ha a privát kulcs kikerül, akkor teljesen mindegy, mikor jár le a cert maga, meg _kell_ újítanod.
Annak, hogy a cert maga még entül is rövidebb ideig legyen érvényes, semmilyen biztonsági benefitje nincsen, ha arra nem validálnak a CA szolgáltatók - márpedig kevés kivételtől eltekintve nem validálnak - hogy ne tudjál ugynaazzal a modulussal új CSR-t beadni. Mert ezzel lehet csak kikényszeríteni azt, hogy a cert mögött mindig új kulcs legyen. Amíg ez nincsen, addig csak pénzlehúzás lenne, ha 3 havonta elkérnének egy új certre pénzt.
Én azt érzem, a jövő inkább a Let's Encrypthez hasonló automata megoldásokban és a subscription alapú fizetésben lenne, ahol a tanusítványmegújítás és -csere komplexitása teljesen ki van véve az egyenletből. Az jelenleg is egy felesleges bürokrácia és overhead. A céges adatok meglepően ritkán változnak, a tanusítványban levő domainek is, semmi oka nincsen, hogy miért ne lehetne ez az egész automata. Nyilván a CA szolgáltató (pl: Let's Encrypt) korrumpálódása kockázat, de hát az ember kimegy az utcára meteorzápor idején is.