¿Detalles sobre la fecha de vencimiento exacta de un certificado SSL?

24

Digamos que tenemos un certificado SSL para un sitio. Según un navegador web, el certificado expira mañana, 10 de diciembre de 2011.

OK, pero eso pasa por alto las zonas horarias. ¿Cuándo caducará exactamente?

  • 00:00 hora local del servidor (p. Ej. ET)
  • 00:00 hora local del usuario que navega por el sitio (donde sea)
  • 00:00 UTC

?

(Contexto de la pregunta: un administrador al que le gusta esperar hasta el último día antes de la expiración, para configurar el nuevo certificado. ¿Por qué? Para "obtener el máximo valor", dice. No sigo esa lógica, exactamente , y probablemente debería reemplazarlo unos días antes, pero de todos modos estoy preocupado / inseguro de si el certificado puede dejar de funcionar para algunos / todos los usuarios, antes de las 00:00 hora local).

Greg Hendershott
fuente
1
PD: Supongo que una subpregunta sería, además de la zona horaria, ¿a qué hora real en la fecha de vencimiento? Las opciones obvias son 00:00 y 23:59, supongo.
Greg Hendershott
66
Ese administrador es un idiota. Todos los principales proveedores de certificados emitirán una renovación anticipada y mantendrán la fecha de finalización igual que si la hubiera renovado el último día.
MDMarra
44
¿Para sacarle el máximo provecho? Si está renovando su certificado con el mismo proveedor que no aplica. Los certificados renovados de los proveedores con los que trabajo siempre se adjuntan al final de la fecha actual del certificado.
Tim Brigham

Respuestas:

32

Casi todos los proveedores de certificados renovarán un certificado por el año completo adicional (o cualquier período de tiempo) por un mes más o menos antes de que expire el anterior. Entonces, si su certificado fue válido del 10 de diciembre de 2010 al 10 de diciembre de 2011; puede obtener un nuevo certificado en noviembre y será válido del 20 de noviembre de 2011 al 10 de diciembre de 2012. De esa manera no tendrá que preocuparse por "sacar el máximo provecho de él".

Para responder a la pregunta, los certificados especifican el tiempo hasta el minuto e incluyen una zona horaria.

Puede alimentar su certificado público openssl x509 -in Certificate_File.pem -texty generará el rango de Validez. Lo siguiente es de mis sitios web personales del año pasado:

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
Chris S
fuente
Oh, tu edición me ganó;)
Shane Madden
Aunque "incluye una zona horaria", el perfil PKIX (que especifica cómo deberían funcionar todos los certificados para Internet) requiere explícitamente que los certificados utilicen solo la zona horaria UTC ("Zulu"), que aquí se ha mostrado como GMT En principio GMT y UTC son diferentes tipos de cosas, pero en la práctica se refieren a lo mismo.
tialaramex
1

Si desea probar la respuesta del lado del cliente o si no tiene el archivo del certificado a mano:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(Y al igual que la otra respuesta, mostrará TZ (con las marcas de fecha / hora)
También puede probar este script BASH que hace archivos y sitios ...

bshea
fuente