W przeglądarce Firefox, jeśli widzę uniwersalny główny urząd certyfikacji Verisign, zauważam, że wygasa on w 2037 r.
( Settings
tab -> advanced
-> view certificates
-> VeriSign Universal Root Certification Authority
-> View
.)
Dlaczego ma 23 lata życia?
Dlaczego nie mieliby ustawiać, aby wygasła wcześniej? Lub później?
ssl-certificate
certificate-authority
użytkownik3298687
źródło
źródło
Odpowiedzi:
Wygaśnięcie zostało ustalone w 2037 r., Aby uniknąć możliwości napotkania problemu z datą w roku 2038 w systemie Unix . Zasadniczo na początku 2038 r. Daty uniksowe nie będą już pasować do 32-bitowej liczby całkowitej ze znakiem, więc użycie daty tuż przed tym pozwala uniknąć wyzwalania kodu, który nie został jeszcze zaktualizowany, aby rozwiązać problem.
Certyfikaty główne zabierają ze sobą wszystkie powiązane certyfikaty po ich wygaśnięciu, więc z praktycznego punktu widzenia trzeba je wygasać po wszelkich połączonych certyfikatach.
źródło
Jeśli rozumiem twoje pytanie, zastępcze certyfikaty główne musiałyby zostać ponownie wdrożone na klientach. Szanse są więc, że ich żywotność jest wystarczająco daleko tam, gdzie istnieje niewielka lub żadna szansa na wygaśnięcie certyfikatu root.
źródło
Zdecydowanie widziałem implementacje 32-bitowego protokołu SSL w błędzie 2038, więc prawie na pewno wyjaśnia „dlaczego” tylko „2037”.
A dlaczego nie wygasnąć wcześniej? Cóż, jednym z pierwotnych celów wygaśnięcia było uratowanie zagrożonego certyfikatu, który jest ważny zbyt długo - ale szczerze mówiąc, nie zyskuje to wiele. Teraz oczywiście mamy listy odwołań certyfikatów, dzięki czemu możemy dość łatwo unieważnić certyfikat, który sprawia nam problemy, więc nie ma prawdziwego przymusu, aby mieć krótki czas życia.
źródło