此 SSL 证书何时到期?

此 SSL 证书何时到期?

以下是在以下网站测试 SSL 证书的结果:https://www.ssllabs.com/ssltest/analyze.html?d=bungalowsoftware.com 在此处输入图片描述

看起来我们有两个证书。我没看错吧?使用该证书的 SSL 服务 (CloudFlare.com) 是否指向特定证书?

答案1

你这里有一个证书链, 哪个:

  • 开始于服务器证书
  • 继续中级证书
  • 直到你得到一个被认可为授权 CA 证书(即所谓的“根证书“)由您的系统

您的系统信任它所信任的根证书及其“子证书”颁发的证书(前提是每个中间证书本身都被授权颁发证书)。

  • bungalowsoftware.com(的证书服务器证书,#1)将于 2024-04-26 到期。由以下机构签发并签署E1

  • E1(的证书#2,中级证书) 将于 2025-09-15 到期。由以下机构签发并签署ISRG Root X2

  • ISRG Root X2(的证书#3,中级证书) 将于 2025-09-15 到期。由以下机构签发并签署ISRG Root X1(但ISRG Root X2 通常已存在于系统的证书存储中)。

您的证书链将一直有效,直到链中最早的证书过期,这将是(非常合乎逻辑的)您的服务器证书,其到期日期为2024-04-26,仅用了两个多月的时间。

对于 Let's Encrypt 证书来说,这是很正常的,它们的有效期为 3 个月,并且通常每 2 个月颁发一次新证书。

答案2

我在屏幕截图中看到的是域 bungalowsoftware.com 的 X.509 证书链。

通常,服务器在 TLS 握手期间将发送叶证书和中间 CA 证书(介于 1 和 n 之间)。从技术上讲,根 CA 证书也可以发送,但我认为这并不是一种常见的做法。

openssl你可以在终端中看到同样的事情:

echo "" | openssl s_client -connect bungalowsoftware.com:443       
Connecting to 172.67.139.219
CONNECTED(00000006)
depth=2 C=US, O=Internet Security Research Group, CN=ISRG Root X2
verify return:1
depth=1 C=US, O=Let's Encrypt, CN=E1
verify return:1
depth=0 CN=bungalowsoftware.com
verify return:1
---
Certificate chain
 0 s:CN=bungalowsoftware.com
   i:C=US, O=Let's Encrypt, CN=E1
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Jan 27 00:26:00 2024 GMT; NotAfter: Apr 26 00:25:59 2024 GMT
 1 s:C=US, O=Let's Encrypt, CN=E1
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X2
   a:PKEY: id-ecPublicKey, 384 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 2 s:C=US, O=Internet Security Research Group, CN=ISRG Root X2
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 3 s:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   i:O=Digital Signature Trust Co., CN=DST Root CA X3
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 20 19:14:03 2021 GMT; NotAfter: Sep 30 18:14:03 2024 GMT
...

您的叶子证书的到期日期为 2024 年 4 月 26 日 00:25:59 GMT。

答案3

该证书将于 2024 年 4 月 26 日到期。

其他证书是中级 CAE1(让我们加密)和ISRG 根 X2以及根 CAISRG 根 X1证书链中捆绑的信任锚。那些不是你的。

浏览器可能会显示另一个交叉签名的根 CA ISRG X2。中间 CA 证书应捆绑在一起并一起发送,根 CA 则不应该,因为有些移动客户端不喜欢它们,而且它们也没用,因为客户端中需要存在信任锚。

答案4

您的 ssl labs 输出显示了整个链、用于颁发证书的根证书以及证书本身。这就是证书信任链的工作原理。因此,请查看顶部的第一个日期,这是您的证书将到期的时间。

如果您有可用的 OpenSSL Linux 终端,您也可以启动此命令

DOM="www.domain.com"
PORT="443"
printf Q | openssl s_client -servername $DOM -connect $DOM:$PORT \
| openssl x509 -noout -dates

相关内容