此 SSL 证书何时到期？

Question 1

你这里有一个证书链，哪个：

开始于服务器证书
继续中级证书
直到你得到一个被认可为授权 CA 证书（即所谓的“根证书“）由您的系统

您的系统信任它所信任的根证书及其“子证书”颁发的证书（前提是每个中间证书本身都被授权颁发证书）。

bungalowsoftware.com（的证书服务器证书，#1）将于 2024-04-26 到期。由以下机构签发并签署E1。
E1（的证书#2，中级证书) 将于 2025-09-15 到期。由以下机构签发并签署ISRG Root X2。
ISRG Root X2（的证书#3，中级证书) 将于 2025-09-15 到期。由以下机构签发并签署ISRG Root X1（但ISRG Root X2 通常已存在于系统的证书存储中）。

您的证书链将一直有效，直到链中最早的证书过期，这将是（非常合乎逻辑的）您的服务器证书，其到期日期为2024-04-26，仅用了两个多月的时间。

对于 Let's Encrypt 证书来说，这是很正常的，它们的有效期为 3 个月，并且通常每 2 个月颁发一次新证书。

Answer

你这里有一个证书链，哪个：

开始于服务器证书
继续中级证书
直到你得到一个被认可为授权 CA 证书（即所谓的“根证书“）由您的系统

您的系统信任它所信任的根证书及其“子证书”颁发的证书（前提是每个中间证书本身都被授权颁发证书）。

bungalowsoftware.com（的证书服务器证书，#1）将于 2024-04-26 到期。由以下机构签发并签署E1。
E1（的证书#2，中级证书) 将于 2025-09-15 到期。由以下机构签发并签署ISRG Root X2。
ISRG Root X2（的证书#3，中级证书) 将于 2025-09-15 到期。由以下机构签发并签署ISRG Root X1（但ISRG Root X2 通常已存在于系统的证书存储中）。

您的证书链将一直有效，直到链中最早的证书过期，这将是（非常合乎逻辑的）您的服务器证书，其到期日期为2024-04-26，仅用了两个多月的时间。

对于 Let's Encrypt 证书来说，这是很正常的，它们的有效期为 3 个月，并且通常每 2 个月颁发一次新证书。

Question 2

我在屏幕截图中看到的是域 bungalowsoftware.com 的 X.509 证书链。

通常，服务器在 TLS 握手期间将发送叶证书和中间 CA 证书（介于 1 和 n 之间）。从技术上讲，根 CA 证书也可以发送，但我认为这并不是一种常见的做法。

openssl你可以在终端中看到同样的事情：

echo "" | openssl s_client -connect bungalowsoftware.com:443       
Connecting to 172.67.139.219
CONNECTED(00000006)
depth=2 C=US, O=Internet Security Research Group, CN=ISRG Root X2
verify return:1
depth=1 C=US, O=Let's Encrypt, CN=E1
verify return:1
depth=0 CN=bungalowsoftware.com
verify return:1
---
Certificate chain
 0 s:CN=bungalowsoftware.com
   i:C=US, O=Let's Encrypt, CN=E1
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Jan 27 00:26:00 2024 GMT; NotAfter: Apr 26 00:25:59 2024 GMT
 1 s:C=US, O=Let's Encrypt, CN=E1
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X2
   a:PKEY: id-ecPublicKey, 384 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 2 s:C=US, O=Internet Security Research Group, CN=ISRG Root X2
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 3 s:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   i:O=Digital Signature Trust Co., CN=DST Root CA X3
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 20 19:14:03 2021 GMT; NotAfter: Sep 30 18:14:03 2024 GMT
...

您的叶子证书的到期日期为 2024 年 4 月 26 日 00:25:59 GMT。

Answer

我在屏幕截图中看到的是域 bungalowsoftware.com 的 X.509 证书链。

通常，服务器在 TLS 握手期间将发送叶证书和中间 CA 证书（介于 1 和 n 之间）。从技术上讲，根 CA 证书也可以发送，但我认为这并不是一种常见的做法。

openssl你可以在终端中看到同样的事情：

echo "" | openssl s_client -connect bungalowsoftware.com:443       
Connecting to 172.67.139.219
CONNECTED(00000006)
depth=2 C=US, O=Internet Security Research Group, CN=ISRG Root X2
verify return:1
depth=1 C=US, O=Let's Encrypt, CN=E1
verify return:1
depth=0 CN=bungalowsoftware.com
verify return:1
---
Certificate chain
 0 s:CN=bungalowsoftware.com
   i:C=US, O=Let's Encrypt, CN=E1
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Jan 27 00:26:00 2024 GMT; NotAfter: Apr 26 00:25:59 2024 GMT
 1 s:C=US, O=Let's Encrypt, CN=E1
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X2
   a:PKEY: id-ecPublicKey, 384 (bit); sigalg: ecdsa-with-SHA384
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 2 s:C=US, O=Internet Security Research Group, CN=ISRG Root X2
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 3 s:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   i:O=Digital Signature Trust Co., CN=DST Root CA X3
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 20 19:14:03 2021 GMT; NotAfter: Sep 30 18:14:03 2024 GMT
...

您的叶子证书的到期日期为 2024 年 4 月 26 日 00:25:59 GMT。

Question 3

该证书将于 2024 年 4 月 26 日到期。

其他证书是中级 CAE1（让我们加密）和ISRG 根 X2以及根 CAISRG 根 X1证书链中捆绑的信任锚。那些不是你的。

浏览器可能会显示另一个交叉签名的根 CA ISRG X2。中间 CA 证书应捆绑在一起并一起发送，根 CA 则不应该，因为有些移动客户端不喜欢它们，而且它们也没用，因为客户端中需要存在信任锚。

Answer

该证书将于 2024 年 4 月 26 日到期。

其他证书是中级 CAE1（让我们加密）和ISRG 根 X2以及根 CAISRG 根 X1证书链中捆绑的信任锚。那些不是你的。

浏览器可能会显示另一个交叉签名的根 CA ISRG X2。中间 CA 证书应捆绑在一起并一起发送，根 CA 则不应该，因为有些移动客户端不喜欢它们，而且它们也没用，因为客户端中需要存在信任锚。

Question 4

您的 ssl labs 输出显示了整个链、用于颁发证书的根证书以及证书本身。这就是证书信任链的工作原理。因此，请查看顶部的第一个日期，这是您的证书将到期的时间。

如果您有可用的 OpenSSL Linux 终端，您也可以启动此命令

DOM="www.domain.com"
PORT="443"
printf Q | openssl s_client -servername $DOM -connect $DOM:$PORT \
| openssl x509 -noout -dates

Answer

您的 ssl labs 输出显示了整个链、用于颁发证书的根证书以及证书本身。这就是证书信任链的工作原理。因此，请查看顶部的第一个日期，这是您的证书将到期的时间。

如果您有可用的 OpenSSL Linux 终端，您也可以启动此命令

DOM="www.domain.com"
PORT="443"
printf Q | openssl s_client -servername $DOM -connect $DOM:$PORT \
| openssl x509 -noout -dates

此 SSL 证书何时到期？

答案1

答案2

答案3

答案4

相关内容