Сертификаты TLS/SSL используются для шифрования веб-сайтов или веб-приложений. Они обеспечивают конфиденциальность пользователям, взаимодействующим с веб-сервером через браузер или через командную строку. Различные SSL-сертификаты имеют разный срок действия, максимальный из которых составляет 397 дней ( 1 год, 1 месяц и 2 дня) с 1 сентября 2020 года. Lets Encrypt обеспечивает срок действия до 90 дней.
Когда CA ( Certificate Authority ) выдает SSL-сертификат, он добавляет к нему дату истечения срока действия, после которой сертификат перестает шифровать сайт. Если сертификат не будет продлен, посетители вашего сайта будут встречены страшным предупреждением о том, что ваше соединение не является частным.
В этой инструкции показано, как проверить дату истечения срока действия сертификата SSL/TLS с помощью OpenSSL живого веб-сайта. А так же как проверить срок самозаверяющего сертификата, файла .p12 и файла сертификата pem.
Проверка срока действия TLS/SSL c помощью OpenSSL
OpenSSL это программная библиотека для приложений, обычно используемых для генерации закрытых ключей, создания CSR. А так же для установки сертификатов SSL/TLS и идентификации информации о сертификатах. OpenSSL устанавливается по умолчанию в большинстве дистрибутивов Linux.
1. Чтобы проверить дату истечения срока действия SSL-сертификата на рабочем веб-сайте, сначала определите и экспортируйте переменные, как показано ниже.
export SITE_URL="site name"
export SITE_SSL_PORT="443"
Затем используйте следующую команду openssl для отображения даты истечения срока действия:
$ openssl s_client -connect ${SITE_URL}:${SITE_SSL_PORT} -servername ${SITE_URL} 2> /dev/null | openssl x509 -noout -dates
2. Чтобы проверить срок действия самозаверяющего сертификата, введите команду:
$ cat /etc/ssl/certs/nginx.crt | openssl x509 -noout -enddate
Здесь мы проверяем SSL-сертификат, примененный на веб-сервере Nginx.
Параметр notAfter показывает дату истечения. Например, на скриншоте ниже срок действия SSL-сертификата истекает 25 мая 2022 года в 13:47:20 часов.
3. Проверить срок годности из файла сертификата в кодировке pem
$ openssl pkcs12 -in mycert.p12 -nodes | openssl x509 -noout -enddate
4. Чтобы проверить срок действия сертификата PEM, введите:
$ openssl x509 -enddate -noout -in /path/file.pem
Заключение
В этой инструкции показано, как проверить срок годности SSL-сертификата простым и удобным способом с помощью OpenSSL. В большинстве случаев поставщик SSL-сертификата уведомит о предстоящем истечении срока действия сертификата по электронной почте, после чего потребуется продлить срок действия сертификата.
