Подробности точной даты истечения срока действия сертификата SSL?

24

Допустим, у нас есть сертификат SSL для сайта. По данным веб-браузера, срок действия сертификата истекает 10 декабря 2011 года.

Хорошо, но это замутняет часовые пояса. Когда он истекает, точно?

  • 00:00 по местному времени сервера (например, ET)
  • 00:00 по местному времени пользователя, просматривающего сайт (где угодно)
  • 00:00 UTC

?

(Контекст вопроса: администратор, которому нравится ждать до последнего дня до истечения срока действия, чтобы настроить новый сертификат. Почему? Чтобы «извлечь из него максимальную выгоду», говорит он. Я не придерживаюсь этой логики, точно и, возможно, ему стоит заменить его несколькими днями раньше? Но в любом случае я обеспокоен / не знаю, может ли сертификат перестать работать для некоторых / всех пользователей до 00:00 по местному времени.)

Грег Хендершотт
источник
1
PS Я думаю, что подвопрос будет, в дополнение к часовому поясу, какое реальное время в дате истекает? Полагаю, очевидный выбор - 00:00 и 23:59.
Грег Хендершотт
6
Этот админ идиот. Все основные поставщики сертификатов выпустят обновление рано и сохранят дату окончания так же, как если бы вы продлили ее в последний день.
MDMarra
4
Чтобы получить максимальную отдачу от этого? If is продлевает свой сертификат тем же поставщиком, который не применяется. Обновленные сертификаты поставщиков, с которыми я работаю, всегда добавляются в конце даты текущего сертификата.
Тим Бригам

Ответы:

32

Почти все поставщики сертификатов будут продлевать сертификат на дополнительный целый год (или любой другой период времени) в течение месяца или около того до истечения срока действия предыдущего. Так что, если ваш сертификат был в силе с 10 декабря 2010 по 10 декабря 2011 года; Вы можете получить новый сертификат в ноябре, и он будет действителен с 20 ноября 2011 г. по 10 декабря 2012 г. Таким образом, вам не нужно беспокоиться о том, чтобы «извлечь из него максимальную выгоду».

Чтобы ответить на вопрос, сертификаты указывают время с точностью до минуты и включают часовой пояс.

Вы можете передать свой публичный сертификат через, openssl x509 -in Certificate_File.pem -textи он выведет диапазон действия. Следующее от моих личных вебсайтов с прошлого года:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Крис С
источник
О, твоя редакция превзошла меня;)
Шейн Мэдден
Хотя он «включает часовой пояс», профиль PKIX (который определяет, как должны работать все сертификаты для Интернета) явно требует, чтобы сертификаты использовали только часовой пояс UTC («Зулу»), который здесь был отображен как GMT В принципе GMT ​​и UTC это разные вещи, но на практике они относятся к одному и тому же.
tialaramex
1

Если вы хотите проверить ответ со стороны клиента или у вас нет удобного файла сертификата:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(И, как и в случае с другим ответом, будет показан TZ (с отметками даты / времени).
Вы также можете попробовать этот скрипт BASH, который работает с файлами и сайтами.

bshea
источник