Detail tentang waktu kedaluwarsa yang tepat dari sertifikat SSL?

24

Katakanlah kita memiliki sertifikat SSL untuk sebuah situs. Menurut browser web, sertifikat akan berakhir besok, 10 Desember 2011.

OK, tapi itu bersinar dari zona waktu. Kapan itu akan berakhir, tepatnya?

  • 00:00 waktu setempat dari server (mis. ET)
  • 00:00 waktu setempat pengguna menelusuri situs (di mana saja)
  • 00:00 UTC

?

(Konteks pertanyaan: Admin yang suka menunggu sampai hari terakhir sebelum kedaluwarsa, untuk menyiapkan sertifikat baru. Mengapa? Untuk "mendapatkan nilai maksimal dari itu", katanya. Saya tidak mengikuti logika itu, tepatnya , dan mungkin dia harus menggantinya beberapa hari sebelumnya? Tapi bagaimanapun, saya khawatir / curous apakah sertifikat mungkin berhenti bekerja untuk sebagian / semua pengguna, sebelum pukul 00:00 waktu setempat kami.)

ssl-certificate Greg Hendershott
sumber
1
PS Saya kira sebuah sub-pertanyaan akan, selain zona waktu, waktu aktual apa pada tanggal berakhirnya? Pilihan yang jelas adalah 00:00 dan 23:59, saya kira.
Greg Hendershott
6
Admin itu idiot. Semua vendor sertifikat utama akan mengeluarkan pembaruan lebih awal dan menjaga tanggal akhir tetap sama seperti jika Anda memperbaruinya pada hari terakhir.
MDMarra
4
Untuk mendapatkan nilai maksimal dari itu? Jika sedang memperbarui sertifikatnya dengan vendor yang sama yang tidak berlaku .. Sertifikat yang diperbarui dari vendor tempat saya bekerja selalu ditambahkan pada akhir tanggal sertifikat saat ini.
Tim Brigham

Jawaban:

32

Hampir semua vendor sertifikasi akan memperbarui sertifikat untuk tambahan sepanjang tahun (atau jangka waktu apa pun) selama sebulan atau lebih sebelum yang sebelumnya berakhir. Jadi, jika sertifikat Anda bagus untuk 10 Des 2010 hingga 10 Des 2011; Anda bisa mendapatkan sertifikat baru pada bulan November dan itu akan baik untuk 20 November 2011 hingga 10 Desember 2012. Dengan begitu Anda tidak perlu khawatir tentang "mendapatkan nilai terbaik dari itu".

Untuk menjawab pertanyaan, sertifikat menentukan waktu ke menit, dan termasuk zona waktu.

Anda dapat memberi makan sertifikat publik Anda melalui openssl x509 -in Certificate_File.pem -textdan itu akan menghasilkan rentang Validitas. Berikut ini adalah dari situs web pribadi saya dari tahun lalu:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
sumber
Oh, suntinganmu mengalahkanku;)
Shane Madden
Meskipun "termasuk zona waktu", profil PKIX (yang menentukan bagaimana semua sertifikat untuk Internet harus bekerja) secara eksplisit mengharuskan sertifikat untuk hanya menggunakan zona waktu UTC ("Zulu"), yang di sini telah ditampilkan sebagai GMT Pada prinsipnya GMT dan UTC Ada berbagai macam hal, tetapi dalam praktiknya mereka merujuk pada hal yang sama.
tialaramex
1

Jika Anda ingin menguji respons dari sisi klien atau jika Anda tidak memiliki file sertifikat sendiri:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(Dan seperti jawaban lainnya, ia akan menampilkan TZ (dengan stempel tanggal / waktu)
Anda juga dapat mencoba skrip BASH ini yang memuat file & situs ..

bshea
sumber