Data di scadenza / data di scadenza CSR

Question

Data di scadenza / data di scadenza CSR

#1 da (8 voti)

5

Se creo un CSR con openssl e imposto il giorno di scadenza a 5 anni, è possibile che la CA di firma imposti la data di scadenza a un anno? Quale ha la precedenza?

EDIT: ok, penso che la risposta del post StackOverflow risponda alla domanda

Estrai il periodo di validità richiesto da un certificato Richiesta di firma usando OpenSSL

I've been trying to figure out how to request a specific validity period in a CSR, and as far as I can tell, the CSR simply doesn't carry that information. The CSR's structure is defined in PKCS#10 / RFC2986, and it doesn't have a field specifically for a requested validity period. The attributes and extensions that can be put in the CSR are listed in PKCS#9, and there's nothing there about validity periods. And finally, I can do a openssl asn1parse on my generated CSRs and find that there's no validity-period-related information included regardless of what I pass to openssl req"

openssl certificates csr

posta adam86 16.08.2017 - 16:45

fonte

1 risposta

Leggi altre domande sui tag openssl certificates csr

Perché Outlook non blocca lo spam inviato dai dipendenti? Che cosa protegge effettivamente PKCE?

score 8 · Accepted Answer

Una corretta. Lo standard rilevante è la specifica X.509 in RFC5280 :

4.1.2.5. Validity

The certificate validity period is the time interval during which the CA warrants that it will maintain information about the status of the certificate.

Fondamentalmente, come requester del certificato, non hai assolutamente voce in capitolo nel periodo di validità del tuo certificato, questo è del 100% a discrezione della CA.

Per ottenere un'intuizione del perché questo ha senso, si consideri l'altro uso che X.509 è stato progettato per: certificati email S / MIME in un ambiente aziendale. Chiaramente il tuo amministratore di sistema aziendale può scegliere la frequenza con cui riesci a passare le chiavi, non l'utente finale.

Questa filosofia si applica ai certificati Web TLS in cui le CA hanno la responsabilità di non emettere certificati validi per un periodo più lungo che impiegheranno per craccarli (immagina qualcuno che richiede un certificato di 10 anni per una chiave RSA-1024). Questa responsabilità è disciplinata in parte dal CA / Forum del browser . Ad esempio, vedi questo requisito CA / B :

What are in the Baseline Requirements?

Validity period for certificates issued after July 1, 2012 must not exceed 60 months and issued after April 1, 2015 must not exceed 39 months.

In pratica, ogni CA ha un periodo di validità fisso per tutti i certificati che emette, sebbene alcune CA rilascino certificati più lunghi a un prezzo maggiore.