Другими словами, может ли ЦС выдать сертификат, срок действия которого истекает, например, через 2 тысячелетия?
Если у ЦС был корневой сертификат с достаточно длинным сроком действия, он мог бы выдавать сертификаты в течение такого же длительного времени. Сертификаты, выпущенные центром сертификации, не будут действительны дольше корневого сертификата, даже если у дочернего сертификата более длительный срок действия.
Вы как центр сертификации можете указать любую дату годности в сертификате X.509. Фактически, вы даже можете пропустить это ограничение.
Вопрос в том, какой клиент их примет. Это зависит от программного пакета, от версии программного обеспечения, от конфигурации клиента и, возможно, от других вещей из контекста, таких как отметки времени, журналы прозрачности, срок действия корня CA и промежуточных звеньев, фактический вид корня CA (общедоступный или настраиваемый), длина ключа, актуальность CRL и содержимое OCSP и другие. Так что это трудно понять, не глядя на все это.
Однако базовые требования CA Browser Forum требуют, чтобы вы указали максимальный срок действия 39 месяцев. Соответствующий веб-браузер, который полагается на сертификаты, скорее всего, применяет это и перестает доверять после этой даты (или никогда не доверяет им):
В Разделе 6.3.2 CA-Browser-Forum-BR 1.4.2:
Сертификаты подписчика, выпущенные после 1 апреля 2015 года, ДОЛЖНЫ иметь Срок действия не более 39 месяцев.
Возможно, он не обеспечивает этого для пользовательских корней. Вы обязательно будете использовать свое доверенное состояние, если сделаете это для официально доверенных сертификатов.
Вы можете, если хотите, создать самозаверяющий сертификат, срок действия которого истекает в 9999-12-31T23:59:59Z
, максимально возможная дата для кодирования по текущим правилам (проблема Y10k).
Затем этот сертификат может выдавать другие сертификаты, срок действия которых также истек.
Однако самоподписанный сертификат не будет принят операционными системами или браузерами; потому что у всех есть правила против этого.
Словно Сертификат доверенного корня Microsoft: требования программы Правило 3. Корневые сертификаты должны истечь не более чем через 25 лет после даты подачи заявки на распространение.
Удивительно, но, похоже, не существует краткого заявления о максимальной действительности для корневых органов власти в соответствии с правилами CA / браузера, правилами Mozilla или правилами Apple. Что, вероятно, означает, что они просто используют правила Microsoft.
Теоретически может ли CA создать сертификат, действительный сколь угодно долго?
Неттеория не утверждает, что центр сертификации (ЦС) может выдавать сертификат, действительный сколь угодно долго. Проблема в том, что мы не можем быть уверены, что методы подписи нельзя сломать.
На практике да, вы можете создать сертификат, срок действия которого истекает через 2000 лет. Однако, если его метод подписи сломается до этого момента, было бы глупо, если бы кто-либо его принял. Также формат сертификата может устареть.