Définir la date de fin de validité sur des certificats
Vérifier que la validité du certificat est conforme aux normes de l’industrie
Historiquement, CertCentral fixait l’heure validTo
des certificats à 12:00:00 UTC. Cette pratique date de l’époque où DigiCert était une entreprise plus confidentielle. Nous souhaitions que les certificats expirent le matin pour nous (fuseau horaire MT), moment où nous avions plus de personnel d'assistance disponible pour aider les clients à renouveler les certificats qui expiraient.
Comme nous avons défini l'heure validFrom
des certificats à 00:00:00 UTC et l'heure validTo
à 12:00:00 UTC, nous avons ajouté 12 heures plus une seconde à la période de validité de chaque certificat. À l’époque, les directives de l'industrie en matière de validité des certificats n’étaient pas aussi précises qu’elles le sont aujourd'hui. Ajouter 12 heures et une seconde de validité supplémentaire était conforme aux normes en vigueur.
Comment CertCentral paramètre-t-il l’heure « validTo » désormais ?
Règle dite « à la seconde près »
Aujourd’hui, les normes en vigueur dans l’industrie définissent la durée de vie autorisée pour un certificat en un nombre exact de jours, lesquels sont définis par le nombre total de secondes. Si une autorité de certification (AC) ajoute ne serait-ce qu'une seconde supplémentaire au certificat, sa durée est arrondie à une journée complète. Cela signifie qu'un certificat valide 397 jours et une seconde serait considéré comme ayant une validité de 398 jours dans le cadre de l’adhésion à la section 6.3.2 des
Définition de la période de validité du certificat selon la RFC 5280
La RFC 5280 définit la période de validité des certificats comme incluant à la fois la date de début et celle de fin. Cela signifie que si vous fixez le début de validité à 00:00:00 UTC et la fin à 00:00:00 UTC également, alors la durée de validité du certificat sera d’une seconde. Ainsi, si vous fixez à la fois les heures validFrom
et validTo
à 00:00:00 UTC, le certificat sera valable pendant une seconde supplémentaire.
DigiCert : heure "validFrom" à 00:00:00 UTC – heure "validTo" à 23:59:59 UTC
En raison de l'interprétation de la RFC 5280 par l'industrie, DigiCert fixe maintenant l'heure validTo
à 23:59:59 UTC pour les certificats que nous émettons. Conformément à la RFC 5280, la période de validité inclus la seconde allant jusqu’à 00:00:00 UTC.
Exemple de certificat valide 1 an
Dans cet exemple, nous souhaitons émettre un certificat valable 1 an, qui démarre le 15 octobre 2020 à 00:00:00 UTC et prend fin le 15 octobre 2021 à 00:00:00 UTC. Lorsque nous configurons la validité de ce certificat, nous fixons l’heure validFrom
au 15 octobre 2020 à 00:00:00 UTC et l’heure validTo
au 14 octobre 2021 à 23:59:59 UTC. Conformément à la RFC 5280, le certificat est valide pendant la totalité des 365 jours.
Exemple de certificat valide 397 jours
Dans cet exemple, nous voulons émettre un certificat pour la validité maximale recommandée par l'industrie de 397 jours. Lorsque nous configurons la validité de ce certificat, nous fixons l’heure validFrom
au 15 octobre 2020 à 00:00:00 UTC et l’heure validTo
au jeudi 11 novembre 2021 à 23:59:59 UTC. Conformément à la RFC 5280, le certificat est valide pendant la totalité des 397 jours.
Ajustements liés aux week-ends et jours fériés des États-Unis
Personne ne souhaite voir son site hors-ligne à cause d'un certificat expiré. Pourtant, si un certificat expire en plein week-end, le site qui en dépend peut se trouver hors-ligne pendant une longue durée. Pendant le week-end, une entreprise peut mettre plus de temps à se rendre compte d'un problème, joindre les bonnes personnes, et régler le problème.
À moins que vous ne demandiez une date de fin de validité spécifique pour le certificat, CertCentral essaie d'ajuster l'heure validTo
sur les certificats afin qu'ils n'expirent pas pendant le week-end, et pour éviter les jours fériés américains.