เหตุใดจึงออกใบรับรอง SSL ที่หมดอายุในปี 2037

11

ใน Firefox ถ้าฉันดู Verisign Universal Root Certificate Authority ฉันสังเกตเห็นว่าหมดอายุในปี 2037

( Settingsแท็บ -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

ทำไมอายุ 23 ปี?
ทำไมพวกเขาไม่ตั้งค่าให้หมดอายุก่อนหน้านี้ หรือหลังจากนั้น

ssl-certificate certificate-authority

5

เหมือนคำตอบที่บอกว่าเพื่อหลีกเลี่ยงการแทนที่ใบรับรองหลักให้นานที่สุด บางคนอาจใช้เวลา 25 หรือ 30 ปีเพราะมันเป็นความเจ็บปวดที่จะต้องแทนที่พวกเขาและไม่ได้รับประโยชน์ใด ๆ อัตราต่อรองนั้นนานก่อนที่มันจะหมดอายุมันจะต้องถูกแทนที่ด้วยคีย์ที่ยาวกว่า (และอัลกอริทึมการเข้ารหัสลับที่แตกต่างกันอาจเป็นไปได้) ฉันทำเช่นเดียวกันกับใบรับรอง SSL ภายในของเราเพียงเพราะฉันไม่ต้องการติดตั้งใบรับรองอื่นไปที่ $ [crappy_printer] ตั้งค่าระยะเวลาหมดอายุให้นานกว่าอายุการใช้งานของอุปกรณ์และแก้ไขปัญหา

— HopelessN00b

13

หมดอายุตั้งอยู่ใน 2037 เพื่อหลีกเลี่ยงความเป็นไปได้ของการทำงานเป็นที่ปัญหาวัน Unix ปี 2038 โดยทั่วไปในช่วงต้นปี 2038 วันที่ Unix จะไม่พอดีกับจำนวนเต็ม 32 บิตที่ลงนามแล้วดังนั้นการใช้วันที่ก่อนหน้านั้นหลีกเลี่ยงการเรียกรหัสใด ๆ ที่ยังไม่ได้ปรับปรุงเพื่อแก้ไขปัญหา

ใบรับรองรูทจะใช้ใบรับรองที่ถูกผูกมัดทั้งหมดเมื่อหมดอายุดังนั้นจากมุมมองที่ใช้งานได้จริงจะต้องหมดอายุหลังจากมีใบรับรองเชน

— ไบรอัน
แหล่งที่มา

7

หากฉันเข้าใจคำถามของคุณการเปลี่ยนใบรับรองหลักจะต้องนำไปใช้กับลูกค้าอีกครั้ง อัตราต่อรองคืออายุการใช้งานของพวกเขาถูกกำหนดไว้เพียงพอที่จะมีใบรับรองรูตที่หมดอายุ

— MikeAWood
แหล่งที่มา

4

สำหรับ "Why 2037" (หรือกว้างกว่า "ทำไมไม่ครบ 100 ปี?") - อาจมีข้อ จำกัด ทางเทคนิคในการเล่นแต่อย่างน้อยใน OpenSSL ล่าสุด (0.9.8y บนระบบ 64 บิต) นี่ไม่ใช่ปัญหาดังนั้นอาจเป็นเพียงแค่ "ฉันทำให้มันมีอายุการ ## ปี")

— voretaq7

1

@ voretaq7 ไม่ใช่ (เฉพาะ) ปัญหาของการประมวลผลไลบรารีปัญหาคือรูปแบบมาตรฐานที่ผ่านการทดสอบอย่างดีสำหรับวันที่ก่อนปี 2038 ที่ใช้ UNIX epoch หากคุณต้องการตั้งค่าวันที่หลังจากนั้นคุณต้องใช้รูปแบบวันที่อื่นและอาจไม่รองรับไลบรารีอื่น ๆ / เก่ากว่า

— Hubert Kario

1

@HubertKario ใช่ฉันจำได้ว่า OpenSSL ก่อนหน้านี้มี "ปัญหา" ที่มีวันที่ผ่านเส้นสีแดง Y2038 ดูเหมือนว่าพวกเขาจะได้รับการแก้ไขปัญหาดังกล่าวอย่างน้อยที่สุดเท่าที่กรณีทดสอบของฉันไป (ฉันสร้างใบรับรองที่หมดอายุ 100 ปีนับจากวันนี้และมันไม่ได้บ่น) :-)

— voretaq7

0

ฉันเห็นการใช้งาน SSL แบบ 32 บิตอย่างแน่นอนในข้อผิดพลาดปี 2038 ดังนั้นเกือบจะแน่นอนว่า "ทำไม 'เพียง' 2037"

ทำไมไม่หมดอายุเร็ว? หนึ่งในวัตถุประสงค์ดั้งเดิมของการหมดอายุคือการบันทึกใบรับรองที่ถูกต้องว่าใช้งานได้นานเกินไป - แต่ในความซื่อสัตย์ทั้งหมดที่คุณไม่ได้รับอย่างมาก ตอนนี้แน่นอนว่าเรามีรายการเพิกถอนใบรับรองดังนั้นเราจึงสามารถทำให้ใบรับรองใช้งานได้ง่ายซึ่งทำให้เราเดือดร้อนดังนั้นจึงไม่มีการบังคับจริงที่จะมีเวลาสั้น ๆ

— ทอมนิวตัน
แหล่งที่มา