Détails sur la date d'expiration exacte d'un certificat SSL?

24

Disons que nous avons un certificat SSL pour un site. Selon un navigateur Web, le certificat expire demain, 10 décembre 2011.

D'accord, mais cela glisse sur les fuseaux horaires. Quand expirera-t-il, exactement?

  • 00:00 heure locale du serveur (par exemple ET)
  • 00:00 heure locale de l'utilisateur naviguant sur le site (n'importe où)
  • 00:00 UTC

?

(Contexte de la question: un administrateur qui aime attendre le dernier jour avant l'expiration, pour configurer le nouveau certificat. Pourquoi? Pour "en tirer le meilleur parti", dit-il. Je ne suis pas exactement cette logique , et il devrait probablement le remplacer quelques jours plus tôt? Mais de toute façon, je suis inquiet / curieux de savoir si le certificat peut cesser de fonctionner pour certains / tous les utilisateurs, avant 00h00, heure locale.)

ssl-certificate Greg Hendershott
la source
1
PS Je suppose qu'une sous-question serait, en plus du fuseau horaire, quelle heure réelle à la date expire-t-elle? Les choix évidents étant 00h00 et 23h59, je suppose.
Greg Hendershott
6
Cet administrateur est un idiot. Tous les principaux fournisseurs de certificats émettront un renouvellement anticipé et conserveront la date de fin comme si vous l'aviez renouvelée le dernier jour.
MDMarra
4
Pour en tirer le meilleur parti? Si renouvelle son certificat avec le même fournisseur qui ne s'applique pas. Les certificats renouvelés des fournisseurs avec lesquels je travaille sont toujours ajoutés à la fin de la date du certificat actuel.
Tim Brigham

Réponses:

32

Presque tous les fournisseurs de certificats renouvelleront un certificat pour l'année entière supplémentaire (ou tout autre délai) pour un mois environ avant l'expiration de la précédente. Donc, si votre certificat était valable du 10 décembre 2010 au 10 décembre 2011; vous pouvez obtenir un nouveau certificat en novembre et ce sera valable du 20 novembre 2011 au 10 décembre 2012. De cette façon, vous n'avez pas à vous soucier de "tirer le meilleur parti de celui-ci".

Pour répondre à la question, les certificats spécifient l'heure jusqu'à la minute et incluent un fuseau horaire.

Vous pouvez alimenter votre certificat public openssl x509 -in Certificate_File.pem -textet il affichera la plage de validité. Ce qui suit est de mes sites Web personnels de l'année dernière:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
la source
Oh, votre montage m'a battu;)
Shane Madden
Bien qu'il "comprenne un fuseau horaire", le profil PKIX (qui spécifie le fonctionnement de tous les certificats pour Internet) requiert explicitement que les certificats n'utilisent que le fuseau horaire UTC ("Zulu"), qui a été affiché ici en GMT En principe GMT et UTC sont différents types de choses, mais dans la pratique, ils se réfèrent à la même chose.
tialaramex
1

Si vous souhaitez tester la réponse du côté client ou si vous n'avez pas le fichier de certificat lui-même à portée de main:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(Et comme l'autre réponse, il affichera TZ (avec les horodatages).
Vous pouvez également essayer ce script BASH qui fait des fichiers et des sites ..

bshea
la source