SSL证书的确切到期日期的详细信息?

24

假设我们有一个网站的SSL证书。根据网络浏览器,证书将于2011年12月10日到期。

可以,但是会在时区消失。到底什么时候到期?

  • 服务器本地时间00:00(例如ET)
  • 用户浏览网站的本地时间00:00(无论何时)
  • 00:00 UTC

(问题的背景:一位管理员喜欢等到到期前的最后一天来设置新证书。为什么?为了“从中获得最大的价值”,他说。我不完全遵循这种逻辑,也许他应该在几天前更换它?但是无论如何,我担心/担心该证书是否会在当地时间00:00之前对部分/所有用户停止工作。)

ssl-certificate 
格雷格·亨德肖特
source
1
附言:我想除了时区以外,还有一个子问题是,该日期到期时的实际时间是多少?我想,显而易见的选择是00:00和23:59。
格雷格·亨德肖特2011年
6
那个管理员是个白痴。所有主要的证书供应商都将尽早发布续签,并且将终止日期保留为与您在最后一天续签的日期相同。
MDMarra 2011年
4
要从中获得最大价值?If正在与不适用的同一供应商续签其证书。
蒂姆·布里格姆

Answers:

32

几乎所有的证书供应商都会在前一年到期之前,将证书更新整个一年(或其他时间范围),为期一个月左右。因此,如果您的证书对2010年12月10日至2011年12月10日有效,您可以在11月获得新证书,并且从2011年11月20日到2012年12月10日将是一个不错的选择。这样,您就不必担心“从中获得最大的价值”。

为了回答这个问题,认证机构将时间指定到分钟,并包括一个时区。

您可以通过提供您的公共证书openssl x509 -in Certificate_File.pem -text,它将输出有效范围。以下是我去年的个人网站中的内容:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
克里斯·S
source
噢,您的编辑让我胜过了;)
Shane Madden
尽管PKIX配置文件“包括时区”,但它明确规定了证书只能使用UTC(“祖鲁”)时区,该时区在此处已显示为GMT。原则上,GMT和UTC是不同的事物,但实际上它们是指同一事物。
tialaramex
1

如果要从客户端测试响应,或者如果您自己没有证书文件,请执行以下操作:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(并且像其他答案一样,它会显示TZ(带有日期/时间戳)。
您也可以尝试使用BASH脚本来处理文件和网站。

牛油果
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.