Perché i certificati SSL sono validi solo da una certa data?

Storicamente , i certificati hanno una data di inizio validità principalmente per simmetria: hanno una validità di fine validità, quindi i progettisti originali hanno ritenuto opportuno, per ragioni non specificate, includere un inizio data di validità.

Al giorno d'oggi , tali date hanno trovato un utilizzo, che è validazione precedente . Questo è quello che fai quando verifichi una firma diversi mesi / anni dopo l'atto. Questo è un gioco complicato con timestamp e ti proietti nel passato. La data di inizio validità ha quindi un ruolo importante (sebbene difficile da spiegare in alcuni paragrafi).

Naturalmente, la convalida passata non è affatto lo stesso contesto di una connessione SSL, ma usano lo stesso formato per i certificati ( X .509 ), e il campo di inizio validità deve essere impostato. La CA usuale imposta lo start-of-validity a pochi minuti o ore prima della data di rilascio.

A condizione che una CA abbia politiche forti tali che un certificato emesso non venga mai inoltrato o retrocesso, allora:

Un certificato rilasciato a NotBeforeDate non può essere stato compromesso da vulnerabilità note prima di NotBeforeDate - un certificato che non esiste durante il periodo di una vulnerabilità non può essere stato compromesso da tale vulnerabilità.

Al contrario, se viene rilevata l'esistenza di una nuova vulnerabilità, qualsiasi certificato emesso prima della scoperta di nuove vulnerabilità potrebbe essere considerato sospetto.

In altre parole, per le vulnerabilità fisse il NotBeforeDate consente di concedere la fiducia per i certificati emessi dopo la data della correzione. Per le vulnerabilità rilevate, NotBeforeDate consente di revocare la fiducia per i certificati emessi prima della data di rilevamento.

Potrebbe avere diverse ragioni,

• Per verificare il contratto / abbonamento del cliente e CA
• In caso di attacco, per risolverlo potrebbe essere utile scoprire se l'attaccante ha dirottato i dati prima di avere la connessione sicura o dopo.