Навіщо видавати сертифікат SSL, термін дії якого закінчується в 2037 році?

11

У Firefox, якщо я переглядаю універсальний кореневий сертифікат Verisign, я помічаю, що термін його дії закінчується в 2037 році.

( Settingsвкладка -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

Чому він має термін експлуатації 23 роки?
Чому б вони не встановили, що цей термін закінчується раніше? Чи пізніше?

ssl-certificate certificate-authority

— користувач3298687
джерело

5

Як говорить відповідь, щоб уникнути необхідності замінювати кореневий сертифікат якомога довше. Хтось, ймовірно, поклав термін дії на 25 або 30 років, оскільки болісно замінити ці, але це не дає ніякої користі. Коефіцієнти такі, що задовго до його закінчення його доведеться замінити на довший ключ (і, можливо, інший крипто алгоритм для цього питання). Я роблю те ж саме з нашими внутрішніми сертифікатами SSL лише тому, що мені не хочеться ніколи встановлювати ще один сертифікат на $ [crappy_printer]. Встановіть термін придатності довше, ніж термін служби пристрою, і вирішіть проблему.

— HopelessN00b

13

Термін придатності був встановлений у 2037 році, щоб уникнути можливості потрапляння в проблему дати 2038 року на Unix . Як правило, на початку 2038 року дати Unix більше не вписуються в підписане 32-бітове ціле число, тому використання дати безпосередньо перед цим дозволяє уникнути запуску будь-якого ще не оновленого коду для усунення проблеми.

Кореневі сертифікати беруть з собою всі ланцюгові сертифікати, коли вони закінчуються, тому з практичної точки зору потрібно закінчити термін дії будь-яких ланцюгових сертифікатів.

— Брайан
джерело

7

Якщо я розумію ваше запитання, замінні кореневі сертифікати потрібно буде перенаправити клієнтам. Таким чином, шанси є, що їхнє життя встановлено досить далеко там, де шанси закінчення кореневої церти закінчуються або відсутні взагалі.

— MikeAWood
джерело

4

Що стосується "Чому 2037" (або в більш широкому розумінні "Чому не закінчується 100-річний термін дії?") - Можуть бути технічні обмеження в процесі гри , але принаймні щодо недавнього OpenSSL (0.9.8y, для 64-бітної системи) це не було проблемою, тому, ймовірно, просто "я зробив це

— тривалим

1

@ voretaq7 - це не тільки проблема з обробкою бібліотек, проблема полягає в тому, що стандартний, добре перевірений формат для дат до 2038 р. використовує епоху UNIX. Якщо ви хочете встановити дати після нього, вам потрібно використовувати інший формат дати, і він може не підтримуватися іншими / старими бібліотеками.

— Хуберт Каріо

1

@HubertKario Так, я пам'ятаю, що у OpenSSL раніше були "проблеми" з датами, що минули червону лінію Y2038. Здається, вони вирішили вказані проблеми, принаймні, наскільки мій тестовий випадок (я створив сертифікат, який закінчився 100 років з сьогоднішнього дня, і він не скаржився) :-)

— voretaq7

0

Я напевно бачив, що 32-розрядні реалізації SSL натрапляють на помилку 2038, так що майже напевно пояснюється "чому" лише "2037".

Щодо того, чому не закінчується раніше? Ну, однією з оригінальних цілей закінчення терміну дії було збереження компрометованого сертифікату, який би діяв занадто довго - але від усієї чесності, що не приносить вам великої ваги. Зараз, звичайно, у нас є списки відкликання сертифікатів, тому ми можемо досить легко визнати недійсним сертифікат, який спричиняє нам проблеми, тому немає реального примусу мати короткий час життя.

— Том Ньютон
джерело