Questo è un punto storicamente contestato.
Nell' algoritmo di convalida di RFC 5280 (che sostituisce RFC 2459 , a proposito), non è richiesto il nidificazione dell'intervallo di validità. Tuttavia, alcune implementazioni storiche hanno insistito su di esso; vedi ad esempio la guida in stile X.509 di Peter Gutmann:
Although this isn't specified in any standard, some software requires validity
period nesting, in which the subject validity period lies inside the issuer
validity period. Most software however performs simple pointwise checking in
which it checks whether a cert chain is valid at a certain point in time
(typically the current time). Maintaining the validity nesting requires that a
certain amount of care be used in designing overlapping validity periods
between successive generations of certificates in a hierarchy. Further
complications arise when an existing CA is re-rooted or re-parented (for
example a divisional CA is subordinated to a corporate CA).
Microsoft PKI ("ADCS", ovvero Servizi certificati Active Directory ) impone l'annidamento del periodo di validità, in quanto, quando emette un certificato, non consente la data di fine validità di quel certificato per superare quello dell'attuale certificato CA (in effetti, troncando il periodo di validità richiesto dal modello se portasse a tale situazione).
Anche se, durante il rinnovo di un certificato CA, è possibile mantenere lo stesso nome CA e la stessa chiave CA, nel qual caso sia i certificati CA vecchi sia quelli nuovi possono essere
usato in modo intercambiabile finché non è scaduto nessuno, su certificati EE emessi sia prima che dopo il rinnovo. Cioè, se il vecchio certificato CA è CA1, il nuovo è CA2, il certificato EE1 è stato emesso prima del rinnovo e del certificato EE2 è stato emesso dopo, quindi CA1- > EE1, CA1- > EE2, CA2- > EE1 e CA2- > EE2 dovrebbe tutti essere convalidati; questo è molto conveniente per garantire transizioni fluide. Mentre la nidificazione del periodo di validità implica che CA1- > EE1 e CA2- > EE2 si annidano, CA1- > EE2 e CA2- > EE1 potrebbero non essere nidificati - e questo va bene.
Riepilogo: non puoi fare affidamento sull'annidamento del periodo di validità e non dovresti cercare di applicare il nidificazione durante la convalida dei certificati.