Как проверить срок действия TLS/SSL с помощью OpenSSL

Сертификаты TLS/SSL используются для шифрования веб-сайтов или веб-приложений. Они обеспечивают конфиденциальность пользователям, взаимодействующим с веб-сервером через браузер или через командную строку. Различные SSL-сертификаты имеют разный срок действия, максимальный из которых составляет 397 дней ( 1 год, 1 месяц и 2 дня) с 1 сентября 2020 года. Let’s Encrypt обеспечивает срок действия до 90 дней.

Когда CA ( Certificate Authority ) выдает SSL-сертификат, он добавляет к нему дату истечения срока действия, после которой сертификат перестает шифровать сайт. Если сертификат не будет продлен, посетители вашего сайта будут встречены страшным предупреждением о том, что ваше соединение не является частным.

В этой инструкции показано, как проверить дату истечения срока действия сертификата SSL/TLS с помощью OpenSSL живого веб-сайта. А так же как проверить срок самозаверяющего сертификата, файла .p12 и файла сертификата pem.

Проверка срока действия TLS/SSL c помощью OpenSSL

OpenSSL — это программная библиотека для приложений, обычно используемых для генерации закрытых ключей, создания CSR. А так же для установки сертификатов SSL/TLS и идентификации информации о сертификатах. OpenSSL устанавливается по умолчанию в большинстве дистрибутивов Linux.

1. Чтобы проверить дату истечения срока действия SSL-сертификата на рабочем веб-сайте, сначала определите и экспортируйте переменные, как показано ниже.

export SITE_URL="site name"


export SITE_SSL_PORT="443"

Затем используйте следующую команду openssl для отображения даты истечения срока действия:

$ openssl s_client -connect ${SITE_URL}:${SITE_SSL_PORT} -servername ${SITE_URL} 2> /dev/null | openssl x509 -noout -dates

2. Чтобы проверить срок действия самозаверяющего сертификата, введите команду:

$ cat /etc/ssl/certs/nginx.crt | openssl x509 -noout -enddate

Здесь мы проверяем SSL-сертификат, примененный на веб-сервере Nginx.

Параметр notAfter показывает дату истечения. Например, на скриншоте ниже срок действия SSL-сертификата истекает 25 мая 2022 года в 13:47:20 часов.

3. Проверить срок годности из файла сертификата в кодировке pem

$ openssl pkcs12 -in mycert.p12 -nodes | openssl x509 -noout -enddate

4. Чтобы проверить срок действия сертификата PEM, введите:

$ openssl x509 -enddate -noout -in /path/file.pem

Заключение

В этой инструкции показано, как проверить срок годности SSL-сертификата простым и удобным способом с помощью OpenSSL. В большинстве случаев поставщик SSL-сертификата уведомит о предстоящем истечении срока действия сертификата по электронной почте, после чего потребуется продлить срок действия сертификата.