Worden (vernieuwde) certificaten van websites afgegeven met een ingangsdatum in het verleden?

Question

Ik weet hier niet zo veel van af, maar bij Google viel met iets op. Eerder dit jaar vergat Google de certificaten van zowel de SMTP van de Gmail op tijd te vernieuwen als ook dat van haar PKI, de GIA. Dat laatste certificaat had als serienummer 146025 (0x23a69) met als ingangsdatum 5 april 2013 en als einddatum 5 april 2015. Bv hier te zien:

http://www.securityweek.com/google-lets-smtp-certificate-expire

Dat certificaat werd vervangen door serienummer 146038, die dus feitelijk pas de zesde april 2015 inging. Maar de ingangsdatum bleef op 5-4-2013 staan. Dat certificaat was nog steeds SHA-1 en is inmiddels vervangen door het huidige 146051 (0x23a83) met SHA-256 maar heeft nog steeds als ingangsdatum 5-4-2013. Bv hier te zien:

https://www.sslshopper.com/ssl-checker.html?hostname=google.com

Hoe kan een in 2015 afgegeven en van kracht geworden certificaat zogenaamd twee jaar eerder ingegaan zijn?

Mis ik iets, en is dit wel de normale gang van zaken?

 · Answer

De "valid from" datum wordt gebruikt om te kunnen controleren of een certificaat betrouwbaar is. Je kunt er bijvoorbeeld mee controleren of een certificaat is uitgegeven in een periode waarin er een bepaalde kwetsbaarheid is geconstateerd in de certificaten en als het certificaat niet in die periode is uitgegeven weet je dat het certificaat daar veilig voor is.

Een reden om de "valid from" datum niet aan te passen is dat per 1 april 2015 er een richtlijn is dat certificaten maximaal 39 maanden geldig mogen zijn. Dit geldt (met natuurlijk specifiek gedefinieerde uitzonderingen) voor alle certificaten die na deze datum worden uitgegeven. Een van de uitzonderingen zijn certificaten die voor 1 april 2015 zijn uitgegeven. Waarschijnlijk is dat de reden dat Google de de oude datum handhaaft.

Worden (vernieuwde) certificaten van websites afgegeven met een ingangsdatum in het verleden?

Antwoorden (1)

Weet jij het beter..?