Деталі про точний термін придатності сертифіката SSL?

24

Скажімо, у нас є сертифікат SSL для сайту. За даними веб-браузера, термін дії сертифікату закінчується завтра, 10 грудня 2011 року.

Гаразд, але це заблищає за часовими поясами. Коли він точно закінчиться?

00:00 місцевий час сервера (наприклад, ET)
00:00 за місцевим часом, коли користувач переглядає сайт (де завгодно)
00:00 UTC

?

(Контекст запитання: Адміністратор, який любить чекати до останнього дня до закінчення терміну, встановити новий сертифікат. Чому? Щоб "отримати максимальну цінність з цього", він каже. Я точно не дотримуюся цієї логіки. , і, ймовірно, він повинен просто замінити його на кілька днів раніше? Але все одно мене хвилює / чітко, чи може cert перестати працювати для деяких / всіх користувачів до 00:00 за нашим місцевим часом.)

ssl-certificate

— Грег Хендершот
джерело

1

PS Я припускаю, що під питанням, окрім часового поясу, буде, який фактичний час у дату закінчується? Очевидний вибір: 00:00 та 23:59, я думаю.

— Грег Хендершот

6

Цей адмін - ідіот. Усі основні постачальники сертифікатів нададуть оновлення на початку та збережуть дату закінчення такою ж, як якщо б ви поновили її в останній день.

— MDMarra

4

Щоб отримати максимальну користь від цього? Якщо це поновлення його cert з тим самим постачальником, який не застосовується. Оновлені сертифікати від постачальників, з якими я працюю, завжди додаються до кінця поточної дати сертифіката.

— Тім Брігхем

32

Майже всі постачальники сертів поновлюють сертифікат на додатковий цілий рік (або в будь-який термін) протягом місяця або більше до того, як закінчиться попередній термін. Тож якщо ваш сернт був хорошим за 10 грудня 2010 року по 10 грудня 2011 року; ви можете отримати новий сертифікат у листопаді, і це буде добре 20 листопада 2011 р. по 10 грудня 2012 р. Таким чином, вам не доведеться турбуватися про те, щоб "отримати максимальну користь від цього".

Щоб відповісти на запитання, certs вказують час до хвилини та включають часовий пояс.

Ви можете прогодувати ваш загальнодоступний сертифікат, openssl x509 -in Certificate_File.pem -textі він виведе діапазон дійсності. Далі - з моїх особистих веб-сайтів минулого року:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT

— Кріс С
джерело

О, твоя редакція перемогла мене;)

— Шейн Медден

Хоча він "включає часовий пояс", профіль PKIX (який визначає, як повинні працювати всі сертифікати для Інтернету) явно вимагає, щоб сертифікати використовували лише часовий пояс UTC ("зулу"), який тут відображався як GMT В принципі GMT і UTC різні речі, але на практиці вони посилаються на одне й те саме.

— tialaramex

1

Якщо ви хочете перевірити відповідь з боку клієнта або якщо у вас самий файл сертифіката не під рукою:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(І як і інша відповідь, він покаже TZ (з марками дати / часу).
Ви також можете спробувати цей сценарій BASH, який робить файли та сайти.)

— бшея
джерело