Dettagli sulla data esatta di scadenza di un certificato SSL?

24

Diciamo che abbiamo un certificato SSL per un sito. Secondo un browser Web, il certificato scade domani, 10 dicembre 2011.

OK, ma questo va oltre i fusi orari. Quando scadrà, esattamente?

  • 00:00 ora locale del server (ad es. ET)
  • 00:00 ora locale dell'utente che naviga nel sito (ovunque)
  • 00:00 UTC

?

(Contesto della domanda: un amministratore a cui piace attendere l'ultimo giorno prima della scadenza, per impostare il nuovo certificato. Perché? Per "trarne il massimo valore", dice. Non seguo esattamente questa logica , e probabilmente dovrebbe semplicemente sostituirlo qualche giorno prima? Ma comunque sono preoccupato / curioso se il certificato potrebbe smettere di funzionare per alcuni / tutti gli utenti, prima delle 00:00 ora locale.)

ssl-certificate 
Greg Hendershott
fonte
1
PS Immagino che una sotto-domanda sarebbe, oltre al fuso orario, a che ora scade la data effettiva? Le scelte ovvie sono 00:00 e 23:59, suppongo.
Greg Hendershott,
6
Quell'amministratore è un idiota. Tutti i principali fornitori di certificati emetteranno un rinnovo in anticipo e manterranno la data di fine come se l'avessi rinnovato l'ultimo giorno.
MDMarra,
4
Per trarne il massimo valore? Se sta rinnovando il suo certificato con lo stesso fornitore che non si applica. I certificati rinnovati dei fornitori con cui lavoro vengono sempre aggiunti alla fine della data del certificato corrente.
Tim Brigham,

Risposte:

32

Quasi tutti i fornitori di certificati rinnoveranno un certificato per l'intero anno aggiuntivo (o in qualsiasi periodo di tempo) per circa un mese prima della scadenza del precedente. Quindi se il tuo certificato è andato bene per il 10 dicembre 2010 e il 10 dicembre 2011; puoi ottenere un nuovo certificato a novembre e andrà bene dal 20 novembre 2011 al 10 dicembre 2012. In questo modo non dovrai preoccuparti di "trarne il massimo valore".

Per rispondere alla domanda, i certificati specificano l'ora fino al minuto e includono un fuso orario.

Puoi alimentare il tuo certificato pubblico attraverso openssl x509 -in Certificate_File.pem -texte genererà l'intervallo di validità. Quanto segue proviene dai miei siti Web personali dell'anno scorso:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
fonte
Oh, la tua modifica mi ha battuto;)
Shane Madden
Sebbene "includa un fuso orario", il profilo PKIX (che specifica come dovrebbero funzionare tutti i certificati per Internet) richiede esplicitamente i certificati per utilizzare solo il fuso orario UTC ("Zulu"), che qui è stato visualizzato come GMT In linea di principio GMT e UTC sono diversi tipi di cose, ma in pratica si riferiscono alla stessa cosa.
tialaramex,
1

Se si desidera verificare la risposta dal lato client o se non si ha a portata di mano il file del certificato:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(E come l'altra risposta mostrerà TZ (con i timbri data / ora)
Puoi anche provare questo script BASH che fa file e siti ..

bshea
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.