Cada certificado SSL es válido desde una fecha específica hasta la fecha de caducidad.
¿Cuál es el punto en esa fecha "válida desde"? ¿Por qué queremos que un certificado solo sea válido después de una fecha específica?
Cada certificado SSL es válido desde una fecha específica hasta la fecha de caducidad.
¿Cuál es el punto en esa fecha "válida desde"? ¿Por qué queremos que un certificado solo sea válido después de una fecha específica?
Históricamente , los certificados tienen una fecha de inicio de validez principalmente para la simetría: tienen un final de validez, por lo que los diseñadores originales consideraron apropiado, por razones no especificadas, incluir un comienzo fecha de validez también.
Hoy en día , estas fechas han encontrado un uso, que es validación pasada . Eso es lo que hace cuando verifica una firma varios meses / años después de la escritura. Este es un juego complicado con sellos de tiempo y proyectarte en el pasado. La fecha de inicio de validez juega un papel importante (aunque es difícil de explicar en algunos párrafos).
Por supuesto, la validación pasada no es en absoluto el mismo contexto que una conexión SSL, pero utilizan el mismo formato para los certificados ( X .509 ), y se debe establecer el campo de inicio de validez. La CA habitual establece el inicio de validez en unos pocos minutos u horas antes de la fecha de emisión.
Siempre que una CA tenga políticas sólidas de modo que un certificado emitido nunca tenga una fecha posterior o posterior, entonces:
Un certificado emitido en NotBeforeDate no puede haber sido comprometido por vulnerabilidades que se sabe que fueron corregidas antes de NotBeforeDate, un certificado que no existe durante el período de una vulnerabilidad no puede haber sido comprometido por esa vulnerabilidad.
Por el contrario, si se descubre la existencia de una vulnerabilidad novedosa, cualquier certificado emitido antes del descubrimiento de una nueva vulnerabilidad podría considerarse sospechoso.
En otras palabras, para vulnerabilidades fijas, NotBeforeDate permite que se otorgue confianza para certificados emitidos después de la fecha de reparación. Para las vulnerabilidades descubiertas, NotBeforeDate permite revocar la confianza de los certificados emitidos antes de la fecha de descubrimiento.
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificates certificate-authority