2037 년에 만료되는 SSL 인증서를 발급하는 이유는 무엇입니까?

11

Firefox에서 Verisign 범용 루트 인증 기관을 보면 2037 년에 만료됩니다.

( Settings탭-> advanced-> view certificates-> VeriSign Universal Root Certification Authority-> View)

수명이 23 년인 이유는 무엇입니까?
왜 더 일찍 만료되도록 설정하지 않았습니까? 아니면 나중에?

ssl-certificate certificate-authority

— 사용자
소스

5

대답과 같이 가능한 한 오랫동안 루트 인증서를 교체하지 않아도됩니다. 누군가는 아마도 25 년 또는 30 년의 만료 기간을 두었을 것입니다. 왜냐하면 그것들을 대체하는 것은 고통스럽고 어떤 혜택도 제공하지 않기 때문입니다. 이상한 점은 만료되기 오래 전에 더 긴 키가있는 키로 대체해야한다는 것입니다 (그 문제에 대해서는 다른 암호화 알고리즘 일 수도 있음). $ [crappy_printer]에 다른 인증서를 설치할 필요가 없기 때문에 내부 SSL 인증서와 동일한 작업을 수행합니다. 만료 기간을 장치 수명보다 길게 설정하면 문제가 해결됩니다.

— HopelessN00b

13

만료는 2037 년 날짜 문제 가 발생할 수있는 가능성을 피하기 위해 2037 년에 설정되었습니다 . 기본적으로 2038 년 초에 Unix 날짜는 더 이상 부호있는 32 비트 정수에 맞지 않으므로 바로 전에 날짜를 사용하면 문제를 해결하기 위해 아직 업데이트되지 않은 코드가 트리거되지 않습니다.

루트 인증서는 만료 될 때 모든 체인 인증서를 가져 오므로 체인 관점의 인증서 후에 실제 관점에서 만료해야합니다.

— 브라이언
소스

7

귀하의 질문을 이해하면 대체 루트 인증서를 클라이언트에 재배치해야합니다. 따라서 루트 인증서 만료 가능성이 거의 없거나 전혀없는 곳에서 수명이 충분히 설정됩니다.

— MikeAWood
소스

4

"왜 2037"(또는 더 광범위하게 "100 년 만료 시간이 아닌가?")과 관련하여 기술적 인 제약 이있을 수 있지만 적어도 최근 OpenSSL (0.9.8y, 64 비트 시스템)에 제한 이있을 수 있습니다. 이것은 문제가 아니 었으므로 아마도 "## 년 동안 지속되었습니다")

— voretaq7

1

@ voretaq7 라이브러리 처리와 관련된 문제 (단지)가 아닙니다. 문제는 2038 이전의 날짜에 대해 잘 테스트 된 표준 형식이 UNIX 시대를 사용한다는 것입니다. 날짜를 설정 한 후 다른 날짜 형식을 사용해야 할 경우 다른 / 이전 라이브러리에서 지원하지 않을 수 있습니다.

— Hubert Kario

1

@HubertKario 예, Y2038 빨간색 선을 지난 날짜로 "문제"가 있었던 OpenSSL을 기억합니다. 그들은 적어도 내 테스트 사례가 진행되는 한 (문제는 오늘부터 100 년이

— 지나고

0

필자는 32 비트 SSL 구현이 2038 버그로 실행되는 것을 보았으므로 "왜 '만'2037"을 설명 할 것입니다.

왜 빨리 만료되지 않습니까? 글쎄, 만료의 원래 목적 중 하나는 손상된 인증서를 너무 오랫동안 유효하게 저장하는 것이었지만, 정직하게 말하면 큰 이익을 얻지 못했습니다. 물론 우리는 인증서 해지 목록을 가지고 있으므로 문제를 일으키는 인증서를 상당히 쉽게 무효화 할 수 있으므로 짧은 시간 동안 살지 않아도됩니다.

— 톰 뉴턴
소스