Date d'expiration / date de validité de la RSE
Si je crée un CSR avec openssl et que je fixe le jour d'expiration à 5 ans, est-il possible que l'autorité de certification signataire fixe la date d'expiration à un an? Lequel a la priorité?
EDIT: ok, je pense que la réponse du post StackOverflow répond à la question
Extraire la période de validité demandée d'une demande de signature de certificat à l'aide d'OpenSSL
J'ai essayé de comprendre comment demander une période de validité spécifique dans un CSR, et pour autant que je sache, le CSR ne porte tout simplement pas cette information. La structure du CSR est définie dans PKCS # 10/RFC2986, et elle n'a pas de champ spécifiquement pour une période de validité demandée. Les attributs et extensions qui peuvent être placés dans la CSR sont répertoriés dans PKCS # 9, et il n'y a rien là-bas concernant les périodes de validité. Et enfin, je peux faire un OpenSL asn1parse sur mes CSR générés et trouver qu'il n'y a aucune information liée à la période de validité incluse indépendamment de ce que je passe à la requête d'OpenSL "
Correct. La norme pertinente est la spécification X.509 dans RFC528 :
4.1.2.5. Validité
La période de validité du certificat est l'intervalle de temps pendant lequel l'autorité de certification garantit qu'elle conservera des informations sur l'état du certificat.
Fondamentalement, en tant que demandeur de certificat, vous n'avez absolument rien à dire sur la période de validité de votre certificat, c'est 100% à la discrétion de l'AC.
Pour avoir une idée de la raison pour laquelle cela a du sens, considérez l'autre utilisation pour laquelle X.509 a été conçue: les e-mails S/MIME dans un environnement d'entreprise. Il est clair que l'administrateur système de votre entreprise doit choisir la fréquence à laquelle vous passez les clés, pas l'utilisateur final.
Cette philosophie s'applique aux certificats Web TLS dans la mesure où les autorités de certification ont la responsabilité de ne pas émettre de certificats valides pour une période plus longue qu'il faudra pour les cracker (imaginez quelqu'un demandant un certificat de 10 ans pour une clé RSA-1024). Cette responsabilité est régie en partie par le CA/Browser Forum . Par exemple, voir cette exigence CA/B :
- Que contiennent les exigences de base?
La période de validité des certificats délivrés après le 1er juillet 2012 ne doit pas dépasser 60 mois et délivrés après le 1er avril 2015 ne doit pas dépasser 39 mois.
En pratique, chaque autorité de certification a une période de validité fixe pour tous les certificats qu'elle émet, bien que certaines autorités de certification émettent des certificats plus longs à un prix plus élevé.