Mengapa mengeluarkan sertifikat SSL yang berakhir pada 2037?

11

Di Firefox, jika saya melihat Otoritas Sertifikat Root Universal Verisign, saya perhatikan bahwa itu berakhir pada 2037.

( Settingstab -> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View.)

Mengapa ia memiliki umur 23 tahun?
Mengapa mereka tidak mengaturnya agar kedaluwarsa sebelumnya? Atau nanti?

pengguna3298687
sumber
5
Seperti jawaban yang dikatakan, untuk menghindari harus mengganti sertifikat root selama mungkin. Seseorang mungkin memberikan masa kadaluwarsa 25 atau 30 tahun, karena sulit untuk menggantikannya, dan tidak memberikan manfaat apa pun. Kemungkinannya adalah bahwa jauh sebelum habis masa berlakunya, harus diganti dengan kunci yang lebih panjang (dan mungkin algoritma kripto yang berbeda, dalam hal ini). Saya melakukan hal yang sama dengan sertifikat SSL internal kami, hanya karena saya tidak ingin pernah menginstal sertifikat lain ke $ [crappy_printer]. Atur periode kedaluwarsa menjadi lebih lama dari umur perangkat, dan masalah terpecahkan.
HopelessN00b

Jawaban:

13

Masa berlaku ditetapkan pada tahun 2037 untuk menghindari kemungkinan mengalami masalah tanggal tahun Unix 2038 . Pada dasarnya di awal 2038 tanggal Unix tidak akan lagi sesuai dengan integer 32bit yang ditandatangani sehingga menggunakan tanggal sebelum itu menghindari memicu kode apa pun yang belum diperbarui untuk memperbaiki masalah.

Sertifikat root membawa semua sertifikat berantai ketika sertifikat itu kedaluwarsa sehingga dari sudut pandang praktis perlu berakhir setelah sertifikat berantai apa pun.

Brian
sumber
7

Jika saya memahami pertanyaan Anda, sertifikat root pengganti harus dipindahtugaskan ke klien. Jadi kemungkinan besar, masa hidup mereka ditetapkan cukup jauh di mana ada sedikit atau tidak ada peluang sertifikat root berakhir.

MikeAWood
sumber
4
Adapun "Mengapa 2037" (atau lebih luas "Mengapa bukan masa kedaluwarsa 100 tahun?") - Mungkin ada kendala teknis yang sedang dimainkan , tetapi setidaknya pada OpenSSL baru-baru ini (0,9.8y, pada sistem 64-bit) ini bukan masalah jadi mungkin hanya "Saya membuatnya bertahan selama ## tahun")
voretaq7
1
@ voretaq7 bukan (hanya) masalah dengan pemrosesan pustaka, masalahnya adalah bahwa format standar yang telah teruji baik untuk tanggal sebelum 2038 menggunakan zaman UNIX. Jika Anda ingin mengatur tanggal setelahnya, Anda perlu menggunakan format tanggal yang berbeda, dan itu mungkin tidak didukung oleh perpustakaan lain / yang lebih lama.
Hubert Kario
1
@ HubertKario Ya, saya ingat OpenSSL sebelumnya memiliki "masalah" dengan tanggal melewati garis merah Y2038. Mereka tampaknya telah menyelesaikan masalah tersebut, setidaknya sejauh kasus uji saya berjalan (saya membuat sertifikat yang berakhir 100 tahun dari hari ini dan tidak mengeluh) :-)
voretaq7
0

Saya sudah pasti melihat implementasi SSL 32-bit mengalami bug 2038, sehingga hampir pasti menyumbang "mengapa 'hanya' 2037".

Adapun mengapa tidak kedaluwarsa lebih cepat? Nah, salah satu tujuan awal kedaluwarsa adalah untuk menyimpan sertifikat yang dikompromikan yang berlaku terlalu lama - tetapi dalam semua kejujuran itu tidak membuat Anda mendapatkan banyak hal. Sekarang tentu saja kami memiliki daftar pencabutan sertifikat, sehingga kami dapat dengan mudah membatalkan sertifikat yang menyebabkan masalah bagi kami, jadi tidak ada paksaan nyata untuk memiliki waktu singkat untuk hidup.

Tom Newton
sumber