Neden 2037'de süresi dolan bir SSL sertifikası vermelisiniz?

11

Firefox'ta, Verisign Evrensel Kök Sertifika Yetkilisini görüntülersem, süresinin 2037'de sona erdiğini fark ederim.

( Settingssekme -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

Neden 23 yıllık bir ömrü var?
Neden daha önce sona erecek şekilde ayarlamadılar? Veya daha sonra?

ssl-certificate certificate-authority

— user3298687
kaynak

5

Yanıtın dediği gibi, kök sertifikayı olabildiğince uzun süre değiştirmek zorunda kalmamak. Birisi muhtemelen 25 veya 30 yıllık bir sona erdi, çünkü bunları değiştirmek zorunda kalmak acı verici ve herhangi bir fayda sağlamaz. Oranlar, sona ermeden çok önce, daha uzun bir anahtarla (ve belki de farklı bir kripto algoritmasıyla) değiştirilmelidir. Aynı şeyi dahili SSL sertifikalarımızla da yapıyorum, çünkü $ [crappy_printer] 'a başka bir sertifika yüklemek istemiyorum. Son kullanma süresini cihazın ömründen daha uzun bir süreye ayarlayın ve sorun çözüldü.

— HopelessN00b

13

Son kullanma tarihi , Unix 2038 yıl problemine girme olasılığını önlemek için 2037'de belirlenmiştir . Temel olarak 2038'in başlarında Unix tarihleri artık imzalı bir 32 bit tamsayıya sığmayacak, bu yüzden hemen önce bir tarih kullanmak, sorunu düzeltmek için henüz güncellenmemiş herhangi bir kodu tetiklemekten kaçınır.

Kök sertifikalar, tüm zincirleme sertifikaları geçerlilikleri sona erdiğinde yanlarına alırlar, bu nedenle zincirleme sertifikalardan sonra pratik bir perspektiften sona ermeleri gerekir.

— Brian
kaynak

7

Sorunuzu anlarsam, yedek kök sertifikaların istemcilere yeniden dağıtılması gerekir. Yani oranlar, ömürleri kök sertifikasının sona erme şansının çok az olduğu veya hiç olmadığı yerlerde yeterince belirlendi.

— MikeAWood
kaynak

4

"Neden 2037" (veya daha geniş "Neden 100 yıllık bir süre sonu yok?") - Oyunda teknik kısıtlamalar olabilir , ancak en azından yakın zamanda OpenSSL'de (64 bit sistemde 0.9.8y) bu bir sorun değildi, bu yüzden muhtemelen sadece "## yıllarca

— sürdüm

1

@ voretaq7 (sadece) kütüphaneleri işlemede sorun değil, sorun 2038 öncesi tarihler için standart, iyi test edilmiş formatın UNIX çağını kullanıyor olmasıdır. Tarihleri bundan sonra ayarlamak istiyorsanız, farklı bir tarih biçimi kullanmanız gerekir ve diğer / eski kütüphaneler tarafından desteklenmeyebilir.

— Hubert Kario

1

@HubertKario Evet, OpenSSL'nin daha önce Y2038 kırmızı çizgisini geçen tarihlerle "sorunları" yaşadığını hatırlıyorum. En azından test durumum gittiğinde, söz konusu sorunları çözdüğü görülüyor (bugünden 100 yıl sonra sona eren ve şikayet etmeyen bir sertifika oluşturdum) :-)

— voretaq7

0

Kesinlikle 3238 SSL uygulamalarının 2038 hatasıyla karşılaştığını gördüm, bu yüzden neredeyse kesinlikle "neden 'sadece' 2037" yi açıklar.

Neden daha erken sona ermiyorsun? Son kullanımın asıl amaçlarından biri, uzlaşılmış bir sertifikanın çok uzun süre geçerli olmasını sağlamaktı - ama dürüst olmak gerekirse, bu size çok şey kazandırmaz. Şimdi elbette sertifika iptal listelerimiz var, bu yüzden bize sorun yaratan bir sertifikayı kolayca geçersiz kılabiliriz, bu yüzden yaşamak için kısa bir zamana sahip olmak için gerçek bir zorlama yoktur.

— Tom Newton
kaynak