Настройка времени"действительно до" в сертификатах

Убедитесь в том, что срок действия сертификата соответствует требованиям отраслевых стандартов

Исторически сложилось так, что CertCentral установила следующее время validTo для сертификатов: 12:00:00 UTC. Эта практика сложилась еще тогда, когда DigiCert была небольшой компанией. Мы хотели, чтобы срок действия сертификатов истекал утром (MT), когда доступно было больше сотрудников службы поддержки, которые могли бы помочь клиентам в продлении срока действия сертификатов.

Поскольку мы установили время validFrom для сертификатов на 00:00:00 UTC, а время validTo — на 12:00:00 UTC, мы добавили 12 часов плюс одну секунду к сроку действия каждого сертификата. В то время требования отраслевых стандартов, касающихся срока действия сертификатов, были не столь строги, как сегодня. Сертификаты с дополнительными 12 часами и одной секундой соответствовали требованиям промышленных стандартов.

Каким образом CertCentral устанавливает время"действительно до" теперь?

Правило «одной секунды»

Сегодня отраслевые стандарты определяют допустимый срок действия сертификата в точном количестве дней, определяемом общим количеством секунд. Если центр сертификации (ЦС) добавляет к сертификату хотя бы одну дополнительную секунду, то количество дней округляется в сторону увеличения на целый день. Это означает, что срок действия сертификата на 397 дней плюс одна секунда составляет 398 дней при определении соблюдения требований раздела 6.3.2 Базовых требований к выпуску и управлению открытыми доверенными сертификатами и Требований компании Apple в отношении срока действия.

RFC 5280, определение срока действия сертификата

RFC 5280 определяет срок действия сертификата, который должен включать оба значения продолжительности: начало и окончание. Это означает, что если вы установите время начала на 00:00:00 UTC, а время окончания на 00:00:00 UTC, то срок действия сертификата будет равен одной секунде. Таким образом, если вы установите время validFrom и время validTo на 00:00:00 UTC, то срок действия сертификата будет включать в себя дополнительную секунду.

DigiCert: "действительно с" время: 00:00:00 UTC – "действительно до" время: 23:59:59 UTC

В связи с отраслевым толкованием RFC 5280 DigiCert теперь устанавливает время validTo на 23:59:59 UTC для выпускаемых нами сертификатов. В соответствии с RFC 5280 этот срок действия включает в себя секунду до 00:00:00 UTC.

Пример срока действия 1-летнего сертификата

В данном примере мы хотим выпустить сертификат сроком на 1 год, который начинается 15 октября 2020 года в 00:00:00 UTC и заканчивается 15 октября 2021 года в 00:00:00 UTC. Когда мы настраиваем срок действия этого сертификата, мы устанавливаем время validFrom на 15 октября 2020 года 00:00:00 UTC и время validTo на 14 октября 2021 года 23:59:59 UTC. Согласно RFC 5280 сертификат действителен в течение 365 дней.

Пример срока действия 397-дневного сертификата

В данном примере мы хотим выпустить сертификат для отрасли, рекомендуемый максимальный срок действия которого составляет 397 дней. Когда мы настраиваем срок действия этого сертификата, мы устанавливаем время validFrom на 15 октября 2020 года 00:00:00 UTC и время validTo на 11 ноября 2021 года 23:59:59 UTC. Согласно RFC 5280 сертификат действителен в течение 397 дней.

Корректировка даты окончания срока действия сертификата в связи с выходными и праздничными днями в США

Недоступность сайта из-за просроченного сертификата — это всегда плохая новость. Тем не менее, если срок действия сертификата истекает в выходные дни, сайт может оказаться недоступным в течение длительного периода времени. В выходные дни компании может потребоваться больше времени, чтобы обнаружить проблему, связаться с нужными специалистами и устранить ее.

Если вы не запрашиваете конкретную дату окончания сока действия сертификата, CertCentral попытается настроить время validTo для сертификатов таким образом, чтобы срок их действия не истекал в выходные и праздничные дни в США.