Por que emitir um certificado SSL que expira em 2037?

11

No Firefox, se eu visualizar a Autoridade de Certificação Raiz Universal da Verisign, aviso que ela expira em 2037.

( Settingsguia -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

Por que tem uma vida útil de 23 anos?
Por que eles não o definiram para expirar mais cedo? Ou mais tarde?

ssl-certificate certificate-authority user3298687
fonte
5
Como a resposta diz, para evitar ter que substituir o certificado raiz pelo maior tempo possível. Alguém provavelmente colocou um prazo de 25 ou 30 anos, porque é uma dor ter que substituí-los e não oferece nenhum benefício. As probabilidades são de que, muito antes de expirar, ele terá que ser substituído por um com uma chave mais longa (e talvez um algoritmo criptográfico diferente, nesse caso). Eu faço o mesmo com nossos certificados SSL internos, apenas porque nunca quero instalar outro certificado em $ [crappy_printer]. Defina o período de validade como mais longo que a vida útil do dispositivo e o problema foi resolvido.
HopelessN00b

Respostas:

13

A validade foi estabelecida em 2037 para evitar a possibilidade de ocorrer o problema de data do ano 2038 do Unix . Basicamente, no início de 2038, as datas do Unix não cabem mais em um número inteiro de 32 bits assinado. Portanto, o uso de uma data antes evita o acionamento de qualquer código ainda não atualizado para corrigir o problema.

Os certificados raiz levam todos os certificados encadeados com eles quando expiram, portanto, de uma perspectiva prática, eles precisam expirar após qualquer certificado encadeado.

Brian
fonte
7

Se eu entendi sua pergunta, os certificados raiz de substituição precisariam ser reimplantados para os clientes. Portanto, as probabilidades são de que sua vida útil seja definida o suficiente, onde há pouca ou nenhuma chance de o certificado raiz expirar.

MikeAWood
fonte
4
Quanto a "Por que 2037" (ou mais amplamente "Por que não um prazo de validade de 100 anos?") - Pode haver restrições técnicas em jogo , mas pelo menos em um OpenSSL recente (0.9.8y, em um sistema de 64 bits) este não era um problema por isso é provavelmente apenas "eu fiz isso durar ## anos")
voretaq7
1
@ voretaq7 não é (apenas) o problema com o processamento de bibliotecas, o problema é que o formato padrão e bem testado para datas anteriores a 2038 está usando a época do UNIX. Se você deseja definir datas depois, precisará usar um formato de data diferente e talvez não seja suportado por outras bibliotecas / antigas.
Hubert Kario
1
@HubertKario Sim, eu me lembro do OpenSSL anteriormente tendo um "problema" com datas além da linha vermelha do Y2038. Eles parecem ter resolvido disse questões, pelo menos tanto quanto o meu caso de teste foi (eu criei uma cert que expira 100 anos a partir de hoje e não reclamar) :-)
voretaq7
0

Definitivamente, vi implementações SSL de 32 bits com o bug de 2038, de modo que quase certamente é responsável por "por que 'apenas' 2037".

Quanto a por que não expirar mais cedo? Bem, um dos propósitos originais do vencimento era salvar um certificado comprometido, válido por muito tempo - mas com toda a honestidade, isso não ganha muito. Agora, é claro, temos listas de revogação de certificados, para que possamos invalidar facilmente um certificado que está nos causando problemas, para que não haja compulsão real por um curto período de tempo.

Tom Newton
fonte