Paramétrer l’heure"validTo" sur les certificats

Vérifier que la validité du certificat est conforme aux normes de l’industrie

Historiquement, CertCentral fixait l’heure validTo des certificats à 12:00:00 UTC. Cette pratique date de l’époque où DigiCert était une entreprise plus confidentielle. Nous souhaitions que les certificats expirent le matin pour nous (fuseau horaire MT), moment où nous avions plus de personnel d'assistance disponible pour aider les clients à renouveler les certificats qui expiraient.

Comme nous fixions l’heure validFrom des certificats à 00:00:00 UTC et l’heure validTo à 12:00:00 UTC, nous ajoutions 12 heure et une seconde de validité à chaque certificat. À l’époque, les directives de l'industrie en matière de validité des certificats n’étaient pas aussi précises qu’elles le sont aujourd'hui. Ajouter 12 heures et une seconde de validité supplémentaire était conforme aux normes en vigueur.

Comment CertCentral paramètre l’heure"validTo" à présent ?

Règle dite « à la seconde près »

Aujourd’hui, les normes en vigueur dans l’industrie définissent la durée de vie autorisée pour un certificat en un nombre exact de jours, lesquels sont définis par le nombre total de secondes. Si une autorité de certification (AC) ajoute ne serait-ce qu'une seconde supplémentaire au certificat, sa durée est arrondie à une journée complète. Autrement dit, une validité de 397 jours et une seconde revient à créer une validité de 398 jours, dans le cadre de l'adhésion à la section 6.3.2 des Exigences de base en matière d'émission et de gestion de certificats approuvés publiquement et des exigences de validité d’Apple..

Définition de la période de validité du certificat selon la RFC 5280

La RFC 5280 définit la période de validité du certificat comme comprenant à la fois le début et la fin. Cela signifie que si vous fixez le début de validité à 00:00:00 UTC et la fin à 00:00:00 UTC également, alors la durée de validité du certificat sera d’une seconde. Ainsi, si vous fixez à la fois les heures validFrom et validTo à 00:00:00 UTC, le certificat sera valable pendant une seconde supplémentaire.

DigiCert : "validFrom" heure 00:00:00 UTC – "validTo" heure 23:59:59 UTC

Compte tenu de l’interprétation faite de la RFC 5280 par l’industrie, DigiCert fixe désormais l’heure validTo à 23:59:59 UTC pour tous les certificats émis. Conformément à la RFC 5280, la période de validité inclus la seconde allant jusqu’à 00:00:00 UTC.

Exemple de certificat valide 1 an

Dans cet exemple, nous souhaitons émettre un certificat valable 1 an, qui démarre le 15 octobre 2020 à 00:00:00 UTC et prend fin le 15 octobre 2021 à 00:00:00 UTC. Lorsque nous configurons la validité de ce certificat, nous fixons l’heure validFrom au 15 octobre 2020 à 00:00:00 UTC et l’heure validTo au 14 octobre 2021 à 23:59:59 UTC. Conformément à la RFC 5280, le certificat est valide pendant la totalité des 365 jours.

Exemple de certificat valide 397 jours

Dans cet exemple, nous souhaitons émettre un certificat pour la durée de validité maximale recommandée par l’industrie, soit 397 jours. Lorsque nous configurons la validité de ce certificat, nous fixons l’heure validFrom au 15 octobre 2020 à 00:00:00 UTC et l’heure validTo au jeudi 11 novembre 2021 à 23:59:59 UTC. Conformément à la RFC 5280, le certificat est valide pendant la totalité des 397 jours.

Ajustements liés aux week-ends et jours fériés des États-Unis

Personne ne souhaite voir son site hors-ligne à cause d'un certificat expiré. Pourtant, si un certificat expire en plein week-end, le site qui en dépend peut se trouver hors-ligne pendant une longue durée. Pendant le week-end, une entreprise peut mettre plus de temps à se rendre compte d'un problème, joindre les bonnes personnes, et régler le problème.

Sauf à ce que vous demandiez une date de fin particulière pour le certificat, CertCentral essaye d'adapter la date validTo des certificats de manière à éviter qu’ils expirent le week-end ou lors d'un jour férié aux États-Unis.