Por que emitir um certificado SSL que expira em 2037?

Navegue suas respostas
10

No Firefox, se eu visualizar a Autoridade de Certificação Raiz Universal da Verisign, noto que ela expira em 2037.

( Settings tab - > advanced - > view certificates - > VeriSign Universal Root Certification Authority - > View .)

Por que ele tem uma vida útil de 23 anos?
Por que eles não configurariam para expirar mais cedo? Ou mais tarde?

    
por user3298687 11.02.2014 / 20:26

3 respostas

13

O vencimento foi definido em 2037 para evitar a possibilidade de entrar em contato com o problema de data do Unix ano 2038 . Basicamente, no início de 2038, as datas do Unix não caberiam mais em um inteiro assinado de 32 bits, portanto, usar uma data antes disso evita disparar qualquer código ainda não atualizado para corrigir o problema.

Certificados raiz levam consigo todos os certificados encadeados quando eles expiram, portanto, de uma perspectiva prática, é necessário expirar após qualquer certificado encadeado.

    
por 11.02.2014 / 22:57
7

Se eu entendi sua pergunta, os certificados raiz de substituição precisariam ser reimplementados para os clientes. Portanto, as probabilidades são de que sua vida útil seja definida o suficiente onde há pouca ou nenhuma chance de o certificado raiz expirar.

    
por 11.02.2014 / 20:35
0

Eu definitivamente vi implementações SSL de 32 bits no erro 2038, de modo que quase certamente responde por "por que 'somente' 2037".

Por que não expirar mais cedo? Bem, um dos propósitos originais do vencimento era salvar um certificado comprometido sendo válido por muito tempo - mas com toda a honestidade, isso não significa muito para você. Agora, é claro, temos listas de revogação de certificados, para que possamos facilmente invalidar um certificado que está causando problemas, por isso não há uma compulsão real em ter um curto período de tempo para viver.

    
por 19.02.2014 / 09:29

Tags

Como exibir robots.txt diferentes para http e https no mesmo site? Cronolog vs logrotate