SSL証明書の正確な有効期限の詳細は?

24

サイトのSSL証明書があるとします。Webブラウザーによると、証明書は明日、2011年12月10日に期限切れになります。

わかりましたが、それはタイムゾーンを超えて変化します。いつ期限が切れますか?

  • サーバーの現地時間00:00(例:ET)
  • サイトを閲覧しているユーザーの現地時間(00:00)
  • 00:00 UTC

(質問のコンテキスト:有効期限が切れる前日まで待って新しい証明書をセットアップするのが好きな管理者。なぜでしょうか?「それから最大限の価値を引き出すために」と彼は言います。 、おそらく数日前にそれを置き換える必要がありますか?とにかく、現地時間の00:00より前に、一部またはすべてのユーザーに対して証明書が機能しなくなるかどうか心配です。

ssl-certificate 
グレッグ・ヘンダーショット
ソース
1
PS Iサブ質問は次のようになります推測、タイムゾーンに加えて、実際のものと時間は日に期限切れのでしょうか?明らかな選択肢は00:00と23:59だと思います。
グレッグヘンダーショット
6
その管理者はばかです。すべての主要な証明書ベンダーは、早期に更新を発行し、最終日を最終日に更新した場合と同じように終了日を保持します。
MDマーラ
4
最大限の価値を引き出すには?ifは、適用しない同じベンダーで証明書を更新しています。.作業しているベンダーからの更新された証明書は、常に現在の証明書の日付の最後に追加されます。
ティムブリガム

回答:

32

ほぼすべての証明書ベンダーは、前の有効期限が切れる前に、1か月程度、追加の1年間(または任意の期間)証明書を更新します。したがって、証明書が2010年12月10日から2011年12月10日まで有効だった場合、11月に新しい証明書を取得できます。これは2011年11月20日から2012年12月10日まで有効です。この方法で「最大の価値を引き出す」ことを心配する必要はありません。

質問に答えるために、証明書は分までの時間を指定し、タイムゾーンを含めます。

パブリック証明書をフィードするopenssl x509 -in Certificate_File.pem -textと、有効範囲が出力されます。以下は、昨年の私の個人的なウェブサイトからのものです。

Not Before: Apr 20 20:48:59 2010 GMT
Not After : Jun  5 01:52:13 2011 GMT
クリス・S
ソース
ああ、あなたの編集は私にそれを打ち負かしました;)
シェーンマデン
「タイムゾーンを含む」PKIXプロファイル(インターネットのすべての証明書の動作方法を指定)は、UTC( "Zulu")タイムゾーンのみを使用するように明示的に要求します。ここでは、原則としてGMTおよびUTC種類は異なりますが、実際には同じものを指します。
tialaramex
1

クライアント側からの応答をテストする場合、または証明書ファイル自体が手元にない場合:

# echo | openssl s_client -connect www.example.tld:443 2>/dev/null | openssl x509 -noout -dates

notBefore=Oct  2 22:56:44 2018 GMT
notAfter=Dec 31 22:56:44 2018 GMT

(そして、他の回答と同様に、TZ(日付/時刻スタンプ付き)
が表示されます。ファイルとサイトを実行するこのBASHスクリプトを試すこともできます。

bshea
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.