Po co wydawać certyfikat SSL, który wygasa w 2037 roku?

11

W przeglądarce Firefox, jeśli widzę uniwersalny główny urząd certyfikacji Verisign, zauważam, że wygasa on w 2037 r.

( Settingstab -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

Dlaczego ma 23 lata życia?
Dlaczego nie mieliby ustawiać, aby wygasła wcześniej? Lub później?

ssl-certificate certificate-authority użytkownik3298687
źródło
5
Jak mówi odpowiedź, aby uniknąć konieczności wymiany certyfikatu głównego tak długo, jak to możliwe. Ktoś prawdopodobnie nałożył na to termin 25 lub 30 lat, ponieważ zastąpienie ich bólem jest ból i nie przynosi żadnych korzyści. Szanse są tak długo, zanim wygaśnie, będzie musiał zostać zastąpiony jednym z dłuższym kluczem (i być może innym algorytmem kryptograficznym). Robię to samo z naszymi wewnętrznymi certyfikatami SSL, tylko dlatego, że nie chcę nigdy instalować innego certyfikatu na $ [crappy_printer]. Ustaw okres ważności na dłuższy niż żywotność urządzenia, a problem rozwiązany.
HopelessN00b

Odpowiedzi:

13

Wygaśnięcie zostało ustalone w 2037 r., Aby uniknąć możliwości napotkania problemu z datą w roku 2038 w systemie Unix . Zasadniczo na początku 2038 r. Daty uniksowe nie będą już pasować do 32-bitowej liczby całkowitej ze znakiem, więc użycie daty tuż przed tym pozwala uniknąć wyzwalania kodu, który nie został jeszcze zaktualizowany, aby rozwiązać problem.

Certyfikaty główne zabierają ze sobą wszystkie powiązane certyfikaty po ich wygaśnięciu, więc z praktycznego punktu widzenia trzeba je wygasać po wszelkich połączonych certyfikatach.

Brian
źródło
7

Jeśli rozumiem twoje pytanie, zastępcze certyfikaty główne musiałyby zostać ponownie wdrożone na klientach. Szanse są więc, że ich żywotność jest wystarczająco daleko tam, gdzie istnieje niewielka lub żadna szansa na wygaśnięcie certyfikatu root.

MikeAWood
źródło
4
Jeśli chodzi o „Dlaczego 2037” (lub szerzej „Dlaczego nie 100 lat wygaśnięcia?”) - Mogą występować ograniczenia techniczne , ale przynajmniej na najnowszym OpenSSL (0.9.8y, w systemie 64-bitowym) to nie był problem, więc prawdopodobnie po prostu „udało mi się przetrwać przez ## lat”)
voretaq7
1
@ voretaq7 to nie jest (tylko) problem z przetwarzaniem bibliotek, problem polega na tym, że standardowy, dobrze przetestowany format dat przed 2038 rokiem używa epoki UNIX. Jeśli chcesz ustawić daty po tym, musisz użyć innego formatu daty, a inne / starsze biblioteki mogą nie być obsługiwane.
Hubert Kario
1
@HubertKario Tak, przypominam sobie, że wcześniej OpenSSL miał „problemy” z datami po czerwonej linii Y2038. Wygląda na to, że rozwiązały wspomniane problemy, przynajmniej jeśli chodzi o mój przypadek testowy (stworzyłem certyfikat, który wygasa za 100 lat od dzisiaj i nie narzeka) :-)
voretaq7
0

Zdecydowanie widziałem implementacje 32-bitowego protokołu SSL w błędzie 2038, więc prawie na pewno wyjaśnia „dlaczego” tylko „2037”.

A dlaczego nie wygasnąć wcześniej? Cóż, jednym z pierwotnych celów wygaśnięcia było uratowanie zagrożonego certyfikatu, który jest ważny zbyt długo - ale szczerze mówiąc, nie zyskuje to wiele. Teraz oczywiście mamy listy odwołań certyfikatów, dzięki czemu możemy dość łatwo unieważnić certyfikat, który sprawia nam problemy, więc nie ma prawdziwego przymusu, aby mieć krótki czas życia.

Tom Newton
źródło