証明書の "有効終了"時間を設定

証明書有効期間が業界基準に準拠しているか確認します

これまで、CertCentral は証明書の validTo 時刻を 12:00:00 UTC に設定していました。この慣例は、DigiCert が小規模企業であったときにはじまったものです。有効期限間近な証明書の更新時にお客様の対応ができるようにより多くの職員がサポートするため、私たちの側で午前 (MT) に証明書の有効期限が切れるようにしようと考えていました。

証明書の validFrom 時刻を 00:00:00 UTC に、また validTo 時刻を 12:00:00 UTC に設定したため、すべての証明書の有効期間に12時間と1秒を加えました。その当時、証明書有効期間に関する業界ガイドラインは今日ほど個別具体的されたものではありませんでした。さらに 12 時間と1秒を加えた証明書は今なお、業界基準に準拠しています。

CertCentral は現在、"有効対象"時間をどのように設定しているのでしょうか?

1秒ルール

今日、業界基準では、許可証明書使用期間を、合計秒数で規定し、正確な日数で定義しています。認証局 (CA) が証明書にさらに1秒を加える場合、日数はその日終日に切り上げられます。すなわち、これは、セクション 6.3.2 の パブリックトラスト証明書の発行と管理に関するベースライン要件Apple の有効期間要件 にしたがって決定され、397 日の証明書有効期間に1秒を加えた場合は 398 日と同一扱いになるということです。

証明書有効期間の RFC 5280 定義

RFC 5280 では、証明書有効期間を開始時刻と終了時刻の両方を含むと定義しています。すなわち、これは 開始時刻 を 00:00:00 UTC、および 終了時刻 を 00:00:00 UTC に設定する場合、証明書有効期間は1秒と等しくなるということです。そのため、validFromvalidTo 時刻を両方とも 00:00:00 UTC に設定した場合、証明書有効期間には追加の1秒が含まれます。

DigiCert:"有効開始"時刻 00:00:00 UTC – "有効終了"時刻 23:59:59 UTC

RFC 5280 の業界での解釈により、DigiCert は現在、発行する証明書について validTo 時刻を 23:59:59 UTC と設定しています。RFC 5280 にしたがって、この有効期間には最大 00:00:00 UTC の秒が含まれます。

1 年証明書有効期間の例

この例では、2020年10月15日 00:00:00 UTC に開始し、2021年10月15日 00:00:00 UTC に終了する 1 年証明書を発行しようとしています。この証明書の有効期間を構成する場合は、validFrom 時刻を 2020年10月15日 00:00:00 UTC、validTo 時刻を2021年10月14日 23:59:59 UTC に設定します。RFC 5280 にしたがって、証明書は 365 日間有効です。

397 日証明書有効期間の例

この例では、業界推奨の最長有効期間 397 日の証明書を発行しようとしています。この証明書の有効期間を構成する場合は、validFrom 時刻を 2020年10月15日 00:00:00 UTC、validTo 時刻を2021年11月11日 23:59:59 UTC に設定します。RFC 5280 にしたがって、証明書は 397 日間有効です。

週末と米国祝日の証明書有効期限日の調節

有効期限切れ証明書による現地ダウンタイムは絶対不可です。ただし、証明書が週末に有効期限切れトなる場合、げんちは長期間ダウンする可能性があります。週末は、会社側で問題を発見し、適切な担当者に連絡して修正するまでに時間がかかります。

証明書について個別終了日を要求しないかぎり、CertCentral は、週末に有効期限が切れないように、また米国祝日を避けるようにするため、証明書について validTo 時刻の調節を試みます。