2037年に期限切れになるSSL証明書を発行する理由

11

FirefoxでVerisign Universal Root Certificate Authorityを表示すると、2037年に有効期限が切れていることに気づきました。

（Settingsタブ-> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View）

なぜ23年の寿命があるのですか？
なぜ彼らはそれを早く期限切れにしないのですか？または後で？

ssl-certificate certificate-authority

— user3298687
ソース

5

答えが言うように、ルート証明書をできるだけ長く置き換える必要を避けるために。おそらく誰かが25年または30年の有効期限を設定します。それらを置き換える必要があり、何のメリットもないためです。オッズは、有効期限が切れるずっと前に、より長いキー（そして、おそらくそれとは異なる暗号アルゴリズム）を持つキーに置き換える必要があるということです。$ [crappy_printer]に別の証明書をインストールする必要がないという理由だけで、内部SSL証明書でも同じことを行います。有効期限をデバイスの寿命よりも長く設定すると、問題は解決します。

— HopelessN00b 2014

13

有効期限は2037年に設定され、Unix年2038年の日付の問題が発生する可能性を回避しました。基本的に2038年の初めには、Unixの日付は符号付き32ビット整数に収まらないため、直前に日付を使用すると、まだ更新されていないコードがトリガーされて問題が解決されません。

ルート証明書は、期限が切れたときにすべてのチェーン証明書を受け取ります。そのため、実用的な観点から、チェーン証明書の後に期限切れになる必要があります。

— ブライアン
ソース

7

質問を理解した場合、置換ルート証明書をクライアントに再展開する必要があります。したがって、オッズは、ルート証明書が期限切れになる可能性がほとんどまたはまったくない場合に、十分に長く設定されます。

— マイクアウッド
ソース

4

「Why 2037」（またはより広義には「Why not a 100 year expirity time？」）について- 技術的な制約があるかもしれませんが、少なくとも最近のOpenSSL（0.9.8y、64ビットシステム）これは問題ではなかったので、おそらく「私は##年間持続した」でしょう。）

— voretaq7

1

@ voretaq7これは、ライブラリーの処理に関する問題だけではありません。問題は、2038年より前の日付の標準的な十分にテストされた形式がUNIXエポックを使用していることです。その後に日付を設定する場合は、別の日付形式を使用する必要があり、他のライブラリや古いライブラリではサポートされていない可能性があります。

— Hubert Kario 2014

1

@HubertKarioええ、私は以前にOpenSSLがY2038赤い線を過ぎた日付の「問題」を抱えていたことを思い出します。彼らは、少なくとも私のテストケースまでは、上記の問題を解決したようです（私は今日から100年で期限切れになる証明書を作成しましたが、文句はありませんでした）:-)

— voretaq7 14

0

32ビットSSLの実装が2038のバグに遭遇するのを確実に見たので、ほぼ確実に「なぜ「2037だけ」なのか」を説明しています。

なぜもっと早く期限切れしないのですか？まあ、有効期限の本来の目的の1つは、侵害された証明書が長期間有効であることを保存することでしたが、正直なところ、大きな利益は得られません。もちろん、証明書失効リストがあるので、問題の原因となっている証明書をかなり簡単に無効にできるので、有効期間が短いことを強制することはありません。

— トム・ニュートン
ソース