Configuración de la hora "validTo" en los certificados

Asegurarse de que la validez del certificado cumpla con los estándares de la industria

Históricamente, CertCentral configura la hora validTo en los certificados como 12:00:00 UTC. Esta práctica comenzó cuando DigiCert era una empresa más pequeña. Queríamos que los certificados caducaran en nuestra mañana (MT) cuando teníamos más personal de asistencia disponible para asistir a los clientes en la renovación de los certificados que caducaban.

Debido a que configuramos la hora validFrom en los certificados como 00:00:00 UTC y la hora validTo como 12:00:00 UTC, agregamos 12 horas más un segundo al período de validez en cada certificado. En ese momento, las pautas de la industria acerca de la validez de certificados no eran tan específicas como lo son en la actualidad. Los certificados con 12 horas y un segundo extra aún cumplían con los estándares de la industria.

¿De qué manera CertCentral configura la hora "validTo" hora en la actualidad?

Regla de un segundo

Hoy en día, los estándares de la industria definen las duraciones permitidas de los certificados en una cantidad exacta de días, definida por la cantidad total de segundos. Si una autoridad de certificados (CA) agrega siquiera un segundo adicional a un certificado, la cantidad de días se redondea hacia arriba a un día completo. Esto quiere decir que una validez de 397 días más un segundo es equivalente a 398 días cuando se determina el cumplimiento de la sección 6.3.2 de los Requisitos de base para la emisión y administración de certificados con confianza pública y los requisitos de validez de Apple.

Definición de RFC 5280 del período de validez del certificado

RFC 5280 define el período de validez del certificado como inclusivo de ambas horas: de inicio y de finalización. Esto quiere decir que si usted configura la hora de inicio como 00:00:00 UTC y la hora de finalización como 00:00:00 UTC, la validez del certificado será equivalente a un segundo. De esta forma, si configura la hora validFrom y la hora validTo como 00:00:00 UTC, la validez del certificado incluirá un segundo adicional.

DigiCert: hora "validFrom" 00:00:00 UTC – hora "validTo" 23:59:59 UTC

Debido a la interpretación que la industria hace de RFC 5280, DigiCert ahora establece la hora validTo como 23:59:59 UTC para los certificados que emitimos. Conforme a RFC 5280, este período de validez incluye el segundo hasta 00:00:00 UTC.

Ejemplo de validez de certificado de 1 año

En este ejemplo, queremos emitir un certificado de 1 año que comienza el 15 de octubre de 2020 a las 00:00:00 UTC y termina el 15 de octubre de 2021 a las 00:00:00 UTC. Cuando configuramos la validez de este certificado, configuramos la hora validFrom como 15 de octubre de 2020 a las 00:00:00 UTC y la hora validTo como 14 de octubre de 2021 a las 23:59:59 UTC. Según RFC 5280, el certificado es válido para los 365 días.

Ejemplo de validez de certificado de 397 días

En este ejemplo, queremos emitir un certificado para la validez máxima recomendada por la industria de 397 días. Cuando configuramos la validez de este certificado, configuramos la hora validFrom como 15 de octubre de 2020 a las 00:00:00 UTC y la hora validTo como 11 de noviembre de 2021 a las 23:59:59 UTC. Según RFC 5280, el certificado es válido para los 397 días.

Ajustes en la fecha de vencimiento de un certificado por fines de semana y feriados de EE. UU.

La inactividad del sitio debido a un certificado caducado nunca es buena. Sin embargo, si un certificado caduca durante el fin de semana, el sitio puede estar inactivo por un período prolongado. Durante el fin de semana, puede tomar más tiempo que la empresa descubra el problema, contacte a la gente adecuada y lo solucione.

A menos que solicite una fecha de finalización específica para el certificado, CertCentral intenta ajustar la hora validTo en los certificados para que no caduquen durante el fin de semana y para evitar los feriados de EE. UU.