Chi tiết về thời gian hết hạn chính xác của chứng chỉ SSL?

24

Giả sử chúng ta có chứng chỉ SSL cho một trang web. Theo một trình duyệt web, chứng chỉ sẽ hết hạn vào ngày mai, 10/12/2011.

OK, nhưng nó bóng theo múi giờ. Khi nào nó sẽ hết hạn, chính xác?

  • 00:00 giờ địa phương của máy chủ (ví dụ: ET)
  • 00:00 giờ địa phương của người dùng duyệt trang web (bất cứ nơi nào)
  • 00:00 UTC

?

(Bối cảnh của câu hỏi: Một quản trị viên thích đợi đến ngày cuối cùng trước khi hết hạn, để thiết lập chứng chỉ mới. Tại sao? Để "nhận được giá trị cao nhất từ ​​nó", ông nói. Tôi không tuân theo logic đó, chính xác , và có lẽ anh ta chỉ nên thay thế nó vài ngày trước đó? Nhưng dù sao tôi cũng lo lắng / không biết liệu chứng chỉ có thể ngừng hoạt động đối với một số / tất cả người dùng hay không, trước 00:00 giờ địa phương của chúng tôi.)

ssl-certificate 
Greg Hendershott
nguồn
1
PS Tôi đoán một câu hỏi phụ sẽ là, ngoài múi giờ, thời gian thực sự vào ngày nào hết hạn? Các lựa chọn rõ ràng là 00:00 và 23:59, tôi cho rằng.
Greg Hendershott
6
Quản trị viên đó là một thằng ngốc. Tất cả các nhà cung cấp chứng nhận lớn sẽ phát hành gia hạn sớm và giữ ngày kết thúc giống như khi bạn gia hạn vào ngày cuối cùng.
MDMarra
4
Để có được giá trị cao nhất của nó? Nếu đang gia hạn chứng chỉ của mình với cùng một nhà cung cấp không áp dụng .. Các chứng chỉ được gia hạn từ các nhà cung cấp mà tôi làm việc luôn được gắn vào cuối ngày chứng nhận hiện tại.
Tim Brigham

Câu trả lời:

32

Hầu như tất cả các nhà cung cấp chứng nhận sẽ gia hạn một chứng chỉ cho cả năm (hoặc bất kỳ khung thời gian nào) trong một tháng hoặc lâu hơn trước khi hết hạn trước đó. Vì vậy, nếu chứng chỉ của bạn tốt cho ngày 10 tháng 12 năm 2010 đến ngày 10 tháng 12 năm 2011; bạn có thể nhận được một chứng chỉ mới vào tháng 11 và nó sẽ tốt cho ngày 20 tháng 11 năm 2011 đến ngày 10 tháng 12 năm 2012. Bằng cách đó bạn không phải lo lắng về việc "nhận được nhiều giá trị nhất từ ​​nó".

Để trả lời câu hỏi, certs chỉ định thời gian xuống đến phút và bao gồm múi giờ.

Bạn có thể cung cấp chứng chỉ công khai của mình thông qua openssl x509 -in Certificate_File.pem -textvà nó sẽ xuất ra phạm vi Hiệu lực. Sau đây là từ các trang web cá nhân của tôi từ năm ngoái:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
nguồn
Ồ, bản chỉnh sửa của bạn đã đánh bại tôi;)
Shane Madden
Mặc dù "bao gồm múi giờ", cấu hình PKIX (chỉ định cách thức tất cả các chứng chỉ cho Internet hoạt động) yêu cầu rõ ràng các chứng chỉ chỉ sử dụng múi giờ UTC ("Zulu"), ở đây đã được hiển thị dưới dạng GMT Theo nguyên tắc GMT và UTC là những loại khác nhau, nhưng trong thực tế, chúng đề cập đến cùng một điều.
tialaramex
1

Nếu bạn muốn kiểm tra phản hồi từ phía khách hàng hoặc nếu bạn không có tệp chứng chỉ tiện dụng:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(Và giống như câu trả lời khác, nó sẽ hiển thị TZ (có tem ngày / giờ)
Bạn cũng có thể thử tập lệnh BASH này có tập tin và trang web ..

bshea
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.