Tại sao cấp chứng chỉ SSL hết hạn vào năm 2037?

11

Trong Firefox, nếu tôi xem Cơ quan cấp chứng chỉ gốc Verisign, tôi nhận thấy rằng nó sẽ hết hạn vào năm 2037.

( Settingstab -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

Tại sao nó có tuổi thọ 23 năm?
Tại sao họ không thiết lập nó hết hạn sớm hơn? Hoặc sau đó?

ssl-certificate  certificate-authority 
người dùng3298687
nguồn
5
Giống như câu trả lời, để tránh phải thay thế chứng chỉ gốc càng lâu càng tốt. Ai đó có thể đã hết hạn 25 hoặc 30 năm cho nó, bởi vì thật đau đớn khi phải thay thế chúng, và không cung cấp bất kỳ lợi ích nào. Điều lạ lùng là rất lâu trước khi nó hết hạn, nó sẽ phải được thay thế bằng một khóa dài hơn (và có thể là thuật toán mật mã khác, cho vấn đề đó). Tôi cũng làm như vậy với các chứng chỉ SSL nội bộ của chúng tôi, chỉ vì tôi không muốn phải cài đặt một chứng chỉ khác cho $ [crappy_printer]. Đặt thời hạn sử dụng dài hơn tuổi thọ của thiết bị và vấn đề đã được giải quyết.
HoplessN00b

Câu trả lời:

13

Thời hạn sử dụng được thiết lập vào năm 2037 để tránh khả năng gặp phải vấn đề ngày tháng năm 2038 của Unix . Về cơ bản vào đầu năm 2038, ngày Unix sẽ không còn phù hợp với số nguyên 32 bit đã ký, do đó, sử dụng một ngày ngay trước đó để tránh kích hoạt bất kỳ mã nào chưa được cập nhật để khắc phục sự cố.

Chứng chỉ gốc mang theo tất cả các chứng chỉ xích khi chúng hết hạn, vì vậy từ góc độ thực tế cần hết hạn sau bất kỳ chứng chỉ xích nào.

Brian
nguồn
7

Nếu tôi hiểu câu hỏi của bạn, chứng chỉ gốc thay thế sẽ cần được triển khai lại cho khách hàng. Vì vậy, tỷ lệ cược là, thời gian tồn tại của chúng được đặt đủ xa, nơi có ít hoặc không có cơ hội chứng nhận gốc hết hạn.

MikeAWood
nguồn
4
Đối với "Tại sao 2037" (hay rộng hơn là "Tại sao không hết hạn 100 năm?") - Có thể có các hạn chế kỹ thuật khi chơi , nhưng ít nhất là trên OpenSSL gần đây (0.9.8y, trên hệ thống 64 bit) đây không phải là một vấn đề nên có lẽ chỉ là "Tôi đã tồn tại trong ## năm")
voretaq7
1
@ voretaq7 không phải (chỉ) vấn đề với các thư viện xử lý, vấn đề là định dạng chuẩn, được kiểm tra tốt cho các ngày trước năm 2038 đang sử dụng UNIX epoch. Nếu bạn muốn đặt ngày sau đó, bạn cần sử dụng định dạng ngày khác và nó có thể không được các thư viện khác / cũ hỗ trợ.
Hubert Kario
1
@HubertKario Vâng, tôi nhớ lại OpenSSL trước đây có "vấn đề" với ngày vượt qua đường màu đỏ Y2038. Họ dường như đã giải quyết các vấn đề đã nói, ít nhất là cho đến khi trường hợp thử nghiệm của tôi diễn ra (tôi đã tạo một chứng chỉ hết hạn 100 năm kể từ ngày hôm nay và nó không phàn nàn) :-)
voretaq7
0

Tôi chắc chắn đã thấy các triển khai SSL 32 bit chạy vào lỗi 2038, do đó gần như chắc chắn chiếm "tại sao" chỉ "2037".

Vì sao không hết hạn sớm hơn? Chà, một trong những mục đích ban đầu của việc hết hạn là để lưu một chứng chỉ bị xâm phạm có hiệu lực quá lâu - nhưng thực ra, điều đó không giúp bạn có được một thỏa thuận tuyệt vời. Bây giờ tất nhiên chúng tôi có danh sách thu hồi chứng chỉ, vì vậy chúng tôi có thể dễ dàng vô hiệu hóa một chứng chỉ gây rắc rối cho chúng tôi, vì vậy không có sự ép buộc thực sự để có một thời gian ngắn để sống.

Tom Newton
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.