Detalhes sobre data e hora exata da expiração de um certificado SSL?

24

Digamos que temos um certificado SSL para um site. Segundo um navegador da web, o certificado expira amanhã, 10 de dezembro de 2011.

OK, mas isso encobre os fusos horários. Quando vai expirar exatamente?

  • 00:00 hora local do servidor (por exemplo, ET)
  • 00:00 hora local do usuário navegando no site (onde quer que)
  • 00:00 UTC

?

(Contexto da pergunta: um administrador que gosta de esperar até o último dia antes do vencimento para configurar o novo certificado. Por que? Para "obter o máximo de valor", ele diz. Não sigo exatamente essa lógica. , e provavelmente ele deve substituí-lo alguns dias antes? Mas, de qualquer maneira, estou preocupado / curioso se o certificado pode parar de funcionar para alguns / todos os usuários antes das 00:00, horário local.)

ssl-certificate Greg Hendershott
fonte
1
PS Eu acho que uma sub-pergunta seria, além do fuso horário, que hora real na data expirará? As escolhas óbvias são 00:00 e 23:59, suponho.
Greg Hendershott
6
Esse administrador é um idiota. Todos os principais fornecedores de certificados emitirão uma renovação antecipada e manterão a data final igual à que você a renovou no último dia.
MDMarra
4
Para tirar o máximo proveito disso? Se está renovando seu certificado com o mesmo fornecedor que não se aplica. Os certificados renovados dos fornecedores com quem trabalho são sempre anexados ao final da data do certificado atual.
Tim Brigham

Respostas:

32

Quase todos os fornecedores de certificados renovam um certificado pelo ano inteiro adicional (ou qualquer que seja o período) por um mês ou mais antes que o anterior expire. Portanto, se o seu certificado foi válido de 10 de dezembro de 2010 a 10 de dezembro de 2011; você pode obter um novo certificado em novembro e será válido entre 20 de novembro de 2011 e 10 de dezembro de 2012. Dessa forma, você não precisa se preocupar em "tirar o máximo proveito dele".

Para responder à pergunta, os certificados especificam o tempo até o minuto e incluem um fuso horário.

Você pode alimentar seu certificado público openssl x509 -in Certificate_File.pem -texte ele produzirá o intervalo de validade. O seguinte é dos meus sites pessoais do ano passado:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
fonte
Ah, sua edição me venceu;)
Shane Madden
Embora "inclua um fuso horário", o perfil PKIX (que especifica como todos os certificados para a Internet devem funcionar) exige explicitamente que os certificados usem apenas o fuso horário UTC ("Zulu"), que aqui foi exibido como GMT. Em princípio, GMT e UTC Existem tipos diferentes de coisas, mas na prática eles se referem à mesma coisa.
Tialaramex
1

Se você deseja testar a resposta do lado do cliente ou se não possui o arquivo de certificado em si:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(E, como a outra resposta, mostrará TZ (com os carimbos de data / hora).
Você também pode tentar este script BASH, que contém arquivos e sites.

bshea
fonte