Frage Details zum genauen Ablaufdatum eines SSL-Zertifikats?


Nehmen wir an, wir haben ein SSL-Zertifikat für eine Site. Laut einem Webbrowser läuft das Zertifikat am 10. Dezember 2011 ab.

OK, aber das glänzt über Zeitzonen. Wann wird es genau ablaufen?

  • 00:00 Ortszeit des Servers (z. B. ET)
  • 00:00 Ortszeit des Nutzers auf der Website (egal wo)
  • 00:00 UTC

?

(Kontext der Frage: Ein Administrator, der gerne bis zum letzten Tag vor Ablauf wartet, um das neue Zertifikat einzurichten. Warum? Um "den größten Nutzen daraus zu ziehen", sagt er. Ich folge dieser Logik nicht genau , und wahrscheinlich sollte er es nur ein paar Tage früher ersetzen? Aber irgendwie bin ich besorgt / curous, ob das cert für einige / alle Benutzer vor 00:00 unserer Ortszeit nicht mehr funktioniert.)


20
2017-12-09 17:05


Ursprung


P.S. Ich denke, eine Unterfrage wäre, neben der Zeitzone, was tatsächlich Zeit Am Ablaufdatum läuft es ab? Die offensichtliche Wahl ist 00:00 und 23:59, nehme ich an. - Greg Hendershott
Dieser Admin ist ein Idiot. Alle großen Cert-Anbieter werden eine Erneuerung frühzeitig vornehmen und das Enddatum so beibehalten, als ob Sie es am letzten Tag erneuert hätten. - MDMarra
Um den größten Nutzen daraus zu ziehen? If is erneuert sein Cert mit dem gleichen Anbieter, der nicht zutrifft. Erneute Zertifikate von den Herstellern, mit denen ich arbeite, werden immer an das Ende des aktuellen Cert-Datums angehängt. - Tim Brigham


Antworten:


Fast alle Cert-Anbieter erneuern ein Zertifikat für das zusätzliche ganze Jahr (oder in welchem ​​Zeitraum auch immer) für einen Monat oder so, bevor der vorherige abläuft. Also, wenn Ihr Zertifikat für den 10. Dezember 2010 bis 10. Dezember 2011 gut war; Sie können ein neues Zertifikat im November bekommen und es wird für den 20. November 2011 bis zum 10. Dezember 2012 gut sein. Auf diese Weise müssen Sie sich keine Gedanken darüber machen, "den größten Nutzen daraus zu ziehen".

Um die Frage zu beantworten, geben Sie mit certs die minutengenaue Zeit und eine Zeitzone an.

Sie können Ihr öffentliches Zertifikat durchreichen openssl x509 -in Certificate_File.pem -text und es wird den Gültigkeitsbereich ausgeben. Das Folgende ist von meinen persönlichen Webseiten aus dem letzten Jahr:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT

27
2017-12-09 17:08



Oh, deine Bearbeitung hat mich dazu geschlagen;) - Shane Madden♦
Obwohl es "eine Zeitzone enthält", benötigt das PKIX-Profil (das angibt, wie alle Zertifikate für das Internet funktionieren sollen) explizit Zertifikate, die nur die UTC-Zeitzone ("Zulu") verwenden, die hier als GMT GMT und UTC angezeigt wird sind verschiedene Arten von Dingen, aber in der Praxis beziehen sie sich auf das Gleiche. - tialaramex


Wenn Sie die Antwort von der Clientseite aus testen möchten oder wenn Sie die Zertifikatsdatei selbst nicht griffbereit haben:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(Und wie die andere Antwort zeigt es TZ (mit den Datums- / Zeitstempeln)


0
2017-10-03 14:25