Details zum genauen Ablaufdatum eines SSL-Zertifikats?

24

Angenommen, wir haben ein SSL-Zertifikat für eine Site. Laut einem Webbrowser läuft das Zertifikat morgen, den 10. Dezember 2011 ab.

OK, aber das beschönigt die Zeitzonen. Wann läuft es genau ab?

  • 00:00 Ortszeit des Servers (zB ET)
  • 00:00 Ortszeit des Benutzers, der die Site durchsucht (wo immer)
  • 00:00 UTC

?

(Fragestellung: Ein Administrator, der gerne bis zum letzten Tag vor Ablauf warten möchte, um das neue Zertifikat einzurichten. Warum? Um "den größten Nutzen daraus zu ziehen", sagt er. Ich folge genau dieser Logik nicht , und wahrscheinlich sollte er es nur ein paar Tage früher ersetzen? Aber trotzdem bin ich besorgt / neugierig, ob das Zertifikat für einige / alle Benutzer vor 00:00 Uhr unserer Ortszeit nicht mehr funktioniert.)

ssl-certificate Greg Hendershott
quelle
1
PS: Ich denke, eine Unterfrage wäre, zusätzlich zur Zeitzone, welche tatsächliche Zeit am Datum läuft ab? Die offensichtlichen Wahlmöglichkeiten sind 00:00 und 23:59, nehme ich an.
Greg Hendershott
6
Dieser Admin ist ein Idiot. Alle großen Zertifizierungsanbieter stellen vorzeitig eine Verlängerung aus und behalten das Enddatum bei, als hätten Sie es am letzten Tag verlängert.
MDMarra
4
Um den größtmöglichen Nutzen daraus zu ziehen? Wenn es sein Zertifikat bei demselben Anbieter erneuert, der nicht zutrifft, werden erneuerte Zertifikate von den Anbietern, mit denen ich zusammenarbeite, immer an das Ende des aktuellen Zertifikatsdatums angehängt.
Tim Brigham

Antworten:

32

Nahezu alle Zertifikatsanbieter verlängern ein Zertifikat für das zusätzliche ganze Jahr (oder einen beliebigen Zeitraum) um einen Monat oder so, bevor das vorherige abläuft. Wenn Ihr Zertifikat also vom 10. Dezember 2010 bis zum 10. Dezember 2011 gültig war; Sie können im November ein neues Zertifikat erhalten, das vom 20. November 2011 bis zum 10. Dezember 2012 gültig ist. Auf diese Weise müssen Sie sich keine Gedanken mehr darüber machen, wie Sie den größtmöglichen Nutzen daraus ziehen können.

Um die Frage zu beantworten, geben Zertifikate die Zeit bis zur Minute an und geben eine Zeitzone an.

Sie können Ihr öffentliches Zertifikat durchlaufen lassen openssl x509 -in Certificate_File.pem -textund es gibt den Gültigkeitsbereich aus. Folgendes stammt von meinen persönlichen Websites aus dem letzten Jahr:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
quelle
Oh, dein Edit hat mich geschlagen;)
Shane Madden
Obwohl es "eine Zeitzone enthält", erfordert das PKIX-Profil (das angibt, wie alle Zertifikate für das Internet funktionieren sollen) explizit, dass Zertifikate nur die UTC-Zeitzone ("Zulu") verwenden, die hier im Prinzip als GMT und UTC angezeigt wird sind verschiedene Arten von Dingen, aber in der Praxis beziehen sie sich auf die gleiche Sache.
Tialaramex
1

Wenn Sie die Antwort vom Client testen möchten oder die Zertifikatsdatei selbst nicht zur Hand haben:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(Und wie bei der anderen Antwort wird TZ (mit den Datums- / Zeitstempeln) angezeigt.
Sie können es auch versuchen angezeigt dieses BASH-Skript ausprobieren, das Dateien und Sites erstellt.

bshea
quelle