Szczegółowe informacje na temat dokładnej daty ważności certyfikatu SSL?

24

Załóżmy, że mamy certyfikat SSL dla witryny. Według przeglądarki internetowej certyfikat wygasa jutro, 10 grudnia 2011 r.

OK, ale to błyszczy w strefach czasowych. Kiedy dokładnie wygaśnie?

  • 00:00 czasu lokalnego serwera (np. ET)
  • 00:00 czasu lokalnego użytkownika przeglądającego witrynę (gdziekolwiek)
  • 00:00 UTC

?

(Kontekst pytania: Administrator, który lubi czekać do ostatniego dnia przed datą wygaśnięcia, aby ustawić nowy certyfikat. Dlaczego? Aby „uzyskać jak najwięcej z niego”, mówi. Nie przestrzegam tej logiki, dokładnie i prawdopodobnie powinien go wymienić kilka dni wcześniej? Ale w każdym razie martwię się / zastanawiam, czy cert może przestać działać dla niektórych / wszystkich użytkowników przed godziną 00:00 czasu lokalnego).

ssl-certificate Greg Hendershott
źródło
1
PS Wydaje mi się, że dodatkowym pytaniem byłoby, oprócz strefy czasowej, jaki rzeczywisty czas w dniu, w którym wygasa? Oczywistym wyborem jest 00:00 i 23:59.
Greg Hendershott,
6
Ten administrator jest idiotą. Wszyscy główni dostawcy certyfikatów wydadzą przedłużenie wcześnie i zachowają datę końcową taką samą, jak w przypadku odnowienia ostatniego dnia.
MDMarra,
4
Jak uzyskać z tego jak najwięcej korzyści? Jeśli odnawia swój certyfikat u tego samego dostawcy, który nie ma zastosowania. Odnowione certyfikaty od dostawców, z którymi pracuję, są zawsze dołączane na koniec bieżącej daty certyfikatu.
Tim Brigham,

Odpowiedzi:

32

Prawie wszyscy dostawcy certyfikatów odnawiają certyfikat na dodatkowy cały rok (lub dowolny przedział czasowy) na miesiąc przed upływem poprzedniego okresu. Więc jeśli twój certyfikat był ważny od 10 grudnia 2010 r. Do 10 grudnia 2011 r .; możesz uzyskać nowy certyfikat w listopadzie, a będzie on ważny od 20 listopada 2011 r. do 10 grudnia 2012 r. W ten sposób nie musisz się martwić, że „uzyskasz z niego jak najwięcej korzyści”.

Aby odpowiedzieć na pytanie, certyfikaty określają czas do minuty i obejmują strefę czasową.

Możesz podać swój publiczny certyfikat przez, openssl x509 -in Certificate_File.pem -texta wyświetli on zakres ważności. Z moich osobistych stron internetowych z ubiegłego roku:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S.
źródło
Och, wasza edycja mnie pobiła;)
Shane Madden
Chociaż „zawiera strefę czasową”, profil PKIX (który określa sposób działania wszystkich certyfikatów dla Internetu) wyraźnie wymaga, aby certyfikaty używały tylko strefy czasowej UTC („Zulu”), która tutaj została wyświetlona jako GMT Zasadniczo GMT i UTC są różnymi rodzajami rzeczy, ale w praktyce odnoszą się do tej samej rzeczy.
tialaramex
1

Jeśli chcesz przetestować odpowiedź po stronie klienta lub jeśli nie masz pod ręką samego pliku certyfikatu:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(I podobnie jak inna odpowiedź, wyświetli TZ (ze znacznikami daty / godziny).
Możesz także wypróbować ten skrypt BASH, który robi pliki i strony.

bshea
źródło