Festlegen der "validTo-" Zeit bei Zertifikaten

Sicherstellen, dass die Zertifikatsgültigkeit mit den Industriestandards konform ist

In der Vergangenheit hat CertCentral die validTo-Zeit auf den Zertifikaten auf 12:00:00 UTC eingestellt. Diese Praxis begann, als DigiCert ein kleineres Unternehmen war. Wir wollten, dass Zertifikate am Morgen (MT) ablaufen, wenn wir mehr Support-Mitarbeiter zur Verfügung hatten, um Kunden bei der Erneuerung von ablaufenden Zertifikaten zu unterstützen.

Da wir die validFrom-Zeit auf den Zertifikaten auf 00:00:00 UTC und die validTo-Zeit auf 12:00:00 UTC gesetzt haben, haben wir 12 Stunden plus eine Sekunde zur Gültigkeitsdauer jedes Zertifikats hinzugefügt. Damals waren die Branchenrichtlinien zur Zertifikatsgültigkeit noch nicht so spezifisch wie heute. Zertifikate mit zusätzlichen 12 Stunden und einer Sekunde waren immer noch konform mit den Industriestandards.

Wie legt CertCentral die "validTo-" Zeit jetzt fest?

Ein-Sekunden-Regel

Heutzutage definieren Industriestandards die zulässige Lebensdauer von Zertifikaten mit einer exakten Anzahl von Tagen, definiert durch die Gesamtzahl der Sekunden. Wenn eine Zertifizierungsstelle (CA) auch nur eine zusätzliche Sekunde zu einem Zertifikat hinzufügt, wird die Anzahl der Tage auf einen vollen Tag aufgerundet. Das bedeutet, dass eine 397-tägige Zertifikatsgültigkeit plus eine Sekunde gleich 398 Tage ist, was durch Abschnitt 6.3.2 der Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates und die Gültigkeitsanforderungen von Apple bestimmt wird.

RFC 5280-Definition der Zertifikatsgültigkeitsdauer

RFC 5280 definiert den Gültigkeitszeitraum des Zertifikats so, dass er beide Zeiten umfasst: Start und Ende. Wenn Sie die Startzeit auf 00:00:00 UTC und die Endzeit auf 00:00:00 UTC setzen, ist die Zertifikatsgültigkeit gleich einer Sekunde. Wenn Sie also sowohl die validFrom- als auch die validTo-Zeit auf 00:00:00 UTC setzen, beinhaltet die Zertifikatsgültigkeit eine zusätzliche Sekunde.

DigiCert: "validFrom-" Zeit 00:00:00 UTC – "validTo-" Zeit 23:59:59 UTC

Aufgrund der branchenweiten Interpretation von RFC 5280 setzt DigiCert nun die validTo-Zeit für die von uns ausgestellten Zertifikate auf 23:59:59 UTC. Laut RFC 5280 umfasst diese Gültigkeitsdauer auch die Sekunde bis 00:00:00 UTC.

Beispiel für 1 Jahr Zertifikatsgültigkeit

In diesem Beispiel wollen wir ein 1-Jahres-Zertifikat ausstellen, das am 15. Oktober 2020 um 00:00:00 UTC beginnt und am 15. Oktober 2021 um 00:00:00 UTC endet. Wenn wir die Gültigkeit für dieses Zertifikat konfigurieren, setzen wir die validFrom-Zeit auf den 15. Oktober 2020 um 00:00:00 UTC und die validTo-Zeit auf den 14. Oktober 2021 um 23:59:59 UTC. Gemäß RFC 5280 ist das Zertifikat für die gesamten 365 Tage gültig.

Beispiel für 397 Tage Zertifikatsgültigkeit

In diesem Beispiel wollen wir ein Zertifikat für die von der Branche empfohlene maximale Gültigkeit von 397 Tagen ausstellen. Wenn wir die Gültigkeit für dieses Zertifikat konfigurieren, setzen wir die validFrom-Zeit auf den 15. Oktober 2020 um 00:00:00 UTC und die validTo-Zeit auf den 11. November 2021 um 23:59:59 UTC. Gemäß RFC 5280 ist das Zertifikat für die gesamten 397 Tage gültig.

Anpassungen des Ablaufdatums von Zertifikaten an Wochenenden und US-Feiertagen

Webseiten-Ausfallzeiten aufgrund eines abgelaufenen Zertifikats sind nie gut. Wenn jedoch ein Zertifikat während des Wochenendes abläuft, kann eine Webseite für einen längeren Zeitraum ausfallen. Am Wochenende kann es länger dauern, bis ein Unternehmen das Problem entdeckt, die richtigen Personen kontaktiert und es behebt.

Sofern Sie kein bestimmtes Enddatum für das Zertifikat anfordern, versucht CertCentral, die validTo-Zeit auf Zertifikaten so anzupassen, dass sie nicht am Wochenende ablaufen und US-Feiertage vermieden werden.