В Firefox, если я просматриваю универсальный корневой центр сертификации Verisign, я замечаю, что срок его действия истекает в 2037 году.
(Settings
вкладка -> advanced
-> view certificates
-> VeriSign Universal Root Certification Authority
-> View
.)
Почему у него срок службы 23 года?
Почему бы им не установить срок его действия раньше? Или позже?
Срок действия был установлен в 2037 году, чтобы избежать возможности столкнуться с Проблема с датой 2038 года в unix. По сути, в начале 2038 года даты Unix больше не будут соответствовать 32-битному целому числу со знаком, поэтому использование даты непосредственно перед ним позволяет избежать запуска любого кода, который еще не обновлен для устранения проблемы.
Корневые сертификаты забирают с собой все связанные сертификаты, когда срок их действия истекает, поэтому с практической точки зрения они должны истекать после любых связанных сертификатов.
Если я понимаю ваш вопрос, заменяющие корневые сертификаты необходимо будет повторно развернуть для клиентов. Так что, скорее всего, их время жизни установлено достаточно далеко, когда вероятность истечения срока действия корневого сертификата очень мала.
Я определенно видел, как 32-битные реализации SSL сталкивались с ошибкой 2038, так что это почти наверняка объясняет, «почему только 2037».
Что касается того, почему бы не истечь раньше? Что ж, одна из первоначальных целей истечения срока действия заключалась в том, чтобы сохранить скомпрометированный сертификат, действующий слишком долго, но, честно говоря, это не принесет вам большой пользы. Теперь, конечно, у нас есть списки отзыва сертификатов, поэтому мы можем довольно легко аннулировать сертификат, который вызывает у нас проблемы, поэтому нет никакого реального принуждения к тому, чтобы жить недолго.