証明書での「validTo」時刻の設定
証明書の有効期限が業界標準に準拠していることを確実にします
従来、CertCentralは証明書のvalidTo
時刻を12:00:00 UTC(協定世界時)に設定していました。この慣例は、デジサートが小規模企業であったときに始められたものです。デジサートは、有効期限間近な証明書の更新についてお客様をサポートするサポートスタッフの人数が多い当社現地時刻(米国山岳時間)の朝に証明書の有効期限が切れるようにしようと考えました。
証明書のvalidFrom
時刻を00:00:00 UTC、validTo
時刻を12:00:00 UTCに設定したことから、デジサートはすべての証明書の有効期限に12時間と1秒を追加しました。その当時、証明書の有効期限に関する業界ガイドラインは今ほど具体的なものではなく、12時間と1秒が追加された証明書でも、業界標準に準拠していました。
現在CertCentralで「validTo」時刻が設定される方法
1秒ルール
今日、業界標準は、許可される証明書の有効期間を合計秒数で定義された正確な日数で定めています。認証局(CA)が証明書に1秒追加するだけでも、日数が丸1日分切り上げられます。つまり、
証明書有効期限のRFC 5280定義
RFC 5280は、証明書の有効期限を開始時刻と終了時刻の両方を含めたものとして定義しています。つまり、開始時刻を00:00:00 UTC、終了時刻を00:00:00 UTCに設定すると、証明書の有効期限は1秒になります。従って、validFrom
時刻とvalidTo
時刻の両方を00:00:00 UTCに設定すると、証明書の有効期限に追加の1秒が含まれることになります。
デジサート:「validFrom」時刻00:00:00 UTC~「validTo」時刻23:59:59 UTC
業界によるRFC 5280の解釈により、デジサートは発行する証明書のvalidTo
時刻を23:59:59 UTCに設定するようになりました。RFC 5280によると、この有効期限には00:00:00 UTCまでの秒が含まれます。
1年間の証明書の有効期限例
この例では、2020年10月15日の00:00:00 UTCに開始され、2021年10月15日の00:00:00 UTCに終了する1年間の証明書を発行します。この証明書の有効期限を設定するときは、validFrom
時刻を2020年10月15日の00:00:00 UTC、validTo
時刻を2021年10月14日の23:59:59 UTCに設定します。RFC 5280によると、この証明書は365日間有効です。
397日の証明書の有効期限例
この例では、業界推奨の最大有効期限、397日で証明書を発行します。この証明書の有効期限を設定するときは、validFrom
時刻を2020年10月15日の00:00:00 UTC、validTo
時刻を2021年11月11日の23:59:59 UTCに設定します。RFC 5280によると、この証明書は397日間有効です。
週末と米国祝日にかかる証明書有効期限日の調節
有効期限が切れた証明書によるサイトのダウンタイムは決して良いものではありません。しかし、証明書の有効期限が週末に切れると、サイトが長期間ダウンする場合があります。週末中は、会社が問題を発見し、適切な担当者に連絡して、修正するまでの時間が長くなる可能性があります。
証明書について特定の終了日を申請する場合を除き、CertCentralは証明書の有効期限が週末に切れないようにし、米国祝日を避けるために、証明書のvalidTo
時刻の調整を試みます。