Fecha de caducidad / fecha de validez de CSR

5

Si creo una CSR con openssl y establezco el día de vencimiento en 5 años, ¿es posible que la AC firmante establezca la fecha de vencimiento en un año? ¿Cuál tiene prioridad?

EDIT: ok, creo que la respuesta de la publicación de StackOverflow responde a la pregunta

Extraer el período de validez solicitado de un certificado Solicitud de firma utilizando OpenSSL

  

He estado tratando de averiguar cómo solicitar un período de validez específico en una CSR, y por lo que puedo decir, la CSR simplemente no lleva esa información. La estructura de la CSR se define en PKCS # 10 / RFC2986, y no tiene un campo específico para un período de validez solicitado. Los atributos y extensiones que se pueden colocar en la CSR se enumeran en PKCS # 9, y no hay nada sobre los períodos de validez. Y finalmente, puedo hacer un openssl asn1parse en mis CSR generados y descubrir que no hay información relacionada con el período de validez incluida, independientemente de lo que pase a openssl req "

    
pregunta adam86 16.08.2017 - 16:45
fuente

1 respuesta

8

Correcto. El estándar relevante es la especificación X.509 en RFC5280 :

  

4.1.2.5. Validez

     

El período de validez del certificado es el intervalo de tiempo durante el cual      CA garantiza que mantendrá información sobre el estado de la      certificado.

Básicamente, como solicitante de certificado, no tiene absolutamente nada que decir en el período de validez de su certificado, esto es 100% a discreción de la CA.

Para obtener una intuición de por qué esto tiene sentido, considere el otro uso para el que X.509 se diseñó para: certificados de correo electrónico S / MIME en un entorno corporativo. Claramente, su administrador de sistema corporativo puede elegir la frecuencia con la que pasa las teclas, no el usuario final.

Esta filosofía se aplica a los certificados TLS web en el sentido de que las CA tienen la responsabilidad de no emitir certificados válidos por un período más prolongado que el de descifrarlos (imagine que alguien solicita un certificado de 10 años para una clave RSA-1024). Esta responsabilidad se rige en parte por el CA / Browser Forum . Por ejemplo, consulte este requisito de CA / B :

  
  1. ¿Qué hay en los requisitos básicos?
  2.   

El período de validez de los certificados emitidos después del 1 de julio de 2012 no debe exceder los 60 meses y el período posterior a partir del 1 de abril de 2015 no debe exceder los 39 meses.

En la práctica, cada CA tiene un período de validez fijo para todos los certificados que emite, aunque algunas CA emitirán certificados más largos a un precio mayor.

    
respondido por el Mike Ounsworth 16.08.2017 - 17:15
fuente

Lea otras preguntas en las etiquetas