รายละเอียดเกี่ยวกับวันหมดอายุที่แน่นอนของใบรับรอง SSL หรือไม่

24

สมมติว่าเรามีใบรับรอง SSL สำหรับเว็บไซต์ ตามเว็บเบราว์เซอร์ใบรับรองจะหมดอายุในวันพรุ่งนี้ 10 ธันวาคม 2011

ตกลง แต่จะคัดสรรโซนเวลา เมื่อไหร่จะหมดอายุแน่นอน

00:00 เวลาท้องถิ่นของเซิร์ฟเวอร์ (เช่น ET)
00:00 เวลาท้องถิ่นของผู้ใช้ที่เข้าชมเว็บไซต์ (ทุกที่)
00:00 น. UTC

?

(บริบทของคำถาม: ผู้ดูแลระบบที่ชอบรอจนกว่าจะถึงวันสุดท้ายก่อนที่จะหมดอายุเพื่อตั้งค่าใบรับรองใหม่เพราะเหตุใดในการ "ได้รับประโยชน์มากที่สุด" เขากล่าวฉันไม่ทำตามตรรกะนั้นอย่างแน่นอน และบางทีเขาควรจะแทนที่เมื่อไม่กี่วันก่อนหน้านี้แต่ทว่าฉันเป็นห่วง / แก้ปัญหาไม่ว่าใบรับรองอาจหยุดทำงานสำหรับผู้ใช้บางคน / ทั้งหมดก่อน 00:00 น. ตามเวลาท้องถิ่นของเรา)

ssl-certificate

— Greg Hendershott
แหล่งที่มา

1

PS ฉันเดาย่อยคำถามจะนอกเหนือไปจากเวลาของสิ่งที่เกิดขึ้นจริงเวลาในวันที่ไม่ได้หมดอายุหรือไม่? ตัวเลือกที่ชัดเจนคือ 00:00 และ 23:59 ฉันคิดว่า

— Greg Hendershott

6

ผู้ดูแลระบบนั้นเป็นคนงี่เง่า ผู้ให้บริการใบรับรองรายใหญ่ทั้งหมดจะออกต่ออายุก่อนและเก็บวันที่สิ้นสุดให้เหมือนกับว่าคุณได้ต่ออายุในวันสุดท้าย

— MDMarra

4

เพื่อให้ได้ประโยชน์สูงสุดจากมัน? หากมีการต่ออายุใบรับรองของเขากับผู้ขายรายเดิมที่ไม่ได้ใช้ .. ใบรับรองที่ต่ออายุจากผู้ขายที่ฉันทำงานด้วยจะถูกผนวกเข้ากับท้ายของวันที่ใบรับรองปัจจุบันเสมอ

— ทิมบริกแฮม

32

ผู้ค้าใบรับรองเกือบทั้งหมดจะต่ออายุใบรับรองตลอดทั้งปีเพิ่มเติม (หรือกรอบเวลาใด ๆ ) เป็นเวลาหนึ่งเดือนหรือมากกว่านั้นก่อนที่จะหมดอายุก่อนหน้านี้ ดังนั้นหากใบรับรองของคุณดีสำหรับ 10 ธันวาคม 2010 ถึง 10 ธันวาคม 2011 คุณสามารถรับใบรับรองใหม่ในเดือนพฤศจิกายนและจะดีสำหรับ 20 พฤศจิกายน 2011 ถึง 10 ธันวาคม 2012 ด้วยวิธีนี้คุณไม่ต้องกังวลเกี่ยวกับ "การใช้ประโยชน์สูงสุดจากมูลค่า"

ในการตอบคำถาม certs ระบุเวลาลงไปที่นาทีและรวมถึงเขตเวลา

คุณสามารถป้อนใบรับรองสาธารณะของคุณผ่านopenssl x509 -in Certificate_File.pem -textและมันจะส่งออกช่วงความถูกต้อง ต่อไปนี้มาจากเว็บไซต์ส่วนตัวของฉันจากปีที่แล้ว:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT

— คริส
แหล่งที่มา

โอ้การแก้ไขของคุณเอาชนะฉันได้)

— Shane Madden

แม้ว่าจะ "รวมโซนเวลา" โปรไฟล์ PKIX (ซึ่งระบุว่าใบรับรองทั้งหมดสำหรับอินเทอร์เน็ตควรทำงานอย่างไร) ต้องมีใบรับรองอย่างชัดเจนเพื่อใช้เฉพาะโซนเวลา UTC ("ซูลู") ซึ่งที่นี่ถูกแสดงเป็น GMT ในหลักการ GMT และ UTC มีสิ่งต่าง ๆ แต่ในทางปฏิบัติพวกเขาอ้างถึงสิ่งเดียวกัน

— tialaramex

1

หากคุณต้องการทดสอบการตอบสนองจากฝั่งไคลเอ็นต์หรือหากคุณไม่มีไฟล์ใบรับรองตัวเองก็มีประโยชน์:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(และเช่นเดียวกับคำตอบอื่น ๆ มันจะแสดง TZ (พร้อมการประทับวันที่ / เวลา)
คุณสามารถลองใช้สคริปต์ BASH นี้ซึ่งทำหน้าที่เป็นไฟล์และไซต์ ..

— bshea
แหล่งที่มา