De "validTo"tijd op certificaten instellen
Ervoor zorgen de geldigheid van het certificaat voldoet aan de industriestandaarden
Van oudsher zette CertCentral de validTo
-tijd op certificaten in op 12:00:00 UTC. Die gewoonte begon toen DigiCert nog een kleiner bedrijf was. We wilden dat certificaten in onze ochtend (MT) zouden verlopen, toen we meer ondersteunend personeel beschikbaar hadden om klanten te helpen bij het verlengen van verlopende certificaten.
Omdat we de validFrom
-tijd op certificaten op 00:00:00 UTC en de validTo
-tijd op 12:00:00 UTC hebben gezet, hebben we 12 uur plus één seconde toegevoegd aan de geldigheidsperiode van elk certificaat. Destijds waren de sectorrichtlijnen rond de geldigheid van certificaten niet zo specifiek als nu. Certificaten met 12 uur en één seconde extra voldeden nog steeds aan de industriestandaarden.
Hoe stelt CertCentral de tijd voor "validTo" nu in?
De 1 seconde-regel
Tegenwoordig definiëren industriestandaarden de toegestane levensduur van certificaten in exacte aantallen dagen, gedefinieerd door het totale aantal seconden. Als een certificeringsinstantie (CA) ook maar één seconde extra aan een certificaat toevoegt, wordt het aantal dagen naar boven afgerond op een hele dag. Dit betekent dat een certificaatgeldigheid van 397 dagen plus één seconde gelijk is aan 398 dagen bij het bepalen van de naleving van sectie 6.3.2 van de
RFC 5280-definitie van de geldigheidsperiode van het certificaat
RFC 5280 definieert de geldigheidsperiode van het certificaat als inclusief beide tijden: begin en einde. Dit betekent dat als u de begintijd op 00:00:00 UTC en de eindtijd op 00:00:00 UTC instelt, de geldigheid van het certificaat gelijk is aan één seconde. Dus wanneer u zowel de validFrom
- als de validTo
-tijd instelt op 00:00:00 UTC, bevat de geldigheid van het certificaat een extra seconde.
DigiCert: "validFrom"-tijd 00:00:00 UTC – "validTo"-tijd 23:59:59 UTC
Vanwege de interpretatie van RFC 5280 door de industrie, stelt DigiCert nu de validTo
-tijd in op 23:59:59 UTC voor certificaten die we uitgeven. Volgens RFC 5280 is deze geldigheidsperiode inclusief de seconde tot 00:00:00 UTC.
Voorbeeld geldigheid 1-jarig certificaat
In dit voorbeeld geven we een 1-jarig certificaat uit dat begint op 15 oktober 2020 om 00:00:00 UTC en eindigt op 15 oktober 2021 om 00:00:00 UTC. Wanneer we de geldigheid voor dit certificaat configureren, stellen we de validFrom
-tijd in op 15 oktober 2020 00:00:00 UTC en de validTo
-tijd op 14 oktober 2021 23:59:59 UTC. Volgens RFC 5280 is het certificaat de volledige 365 dagen geldig.
Voorbeeld certificaatgeldigheid van 397 dagen
In dit voorbeeld willen we een certificaat uitgeven voor de door de industrie aanbevolen maximale geldigheid van 397 dagen. Wanneer we de geldigheid voor dit certificaat configureren, stellen we de validFrom
-tijd in op 15 oktober 2020 00:00:00 UTC en de validTo
-tijd op donderdag 11 november 2021 23:59:59 UTC. Volgens RFC 5280 is het certificaat de volledige 397 dagen geldig.
Aanpassingen van de vervaldatum voor certificaten voor weekenden en Amerikaanse feestdagen
Downtime van de site als gevolg van een verlopen certificaat is nooit goed. Maar als een certificaat in het weekend verloopt, kan een site nog langer offline zijn. Tijdens het weekend kan het langer duren voordat een bedrijf het probleem ontdekt, contact opneemt met de juiste mensen en het oplost.
Tenzij u een specifieke einddatum voor het certificaat aanvraagt, probeert CertCentral de validTo
-tijd op certificaten aan te passen zodat ze niet tijdens het weekend verlopen en tevens om Amerikaanse feestdagen te vermijden.