SSL-Zertifikat erneuern/verlängern - Restlaufzeit?

[Oli-nux]

Hallo,

wir haben auf der Arbeit kürzlich für eine unserer Domains das SSL-Zertifikat erneuert.

Laut Kundenservice (PSW Group) liegen wir innerhalb der 30 Tage Ablauffrist für das alte SSL-Zertifikat (von thawte) so dass sich bei einer Neubestellung das neue Zertifikat quasi um die restliche Laufzeit des alten + 2 Jahre, welches da neue gültig ist, verlängert.

Hätten wir, bei einer Neubestellung, noch mehr als 30 Tage als Ablaufdatum für das alte SSL-Zertifikat so würde die Restlaufzeit des alten Zertifikats sofort verfallen.


Meine Fragen sind nun:
1. Wie können wir feststellen, ohne das neue SSL-Zertifikat einzusetzen, wie lange die tatsächliche Laufzeit jetzt ist?
Der Webserver wird von einem Dienstleister gehostet, somit haben wir darauf keinen (SSH-)Zugriff und müssen dem Dienstleister das SSL-Zertifikat übermitteln.
Nur wollen wir nicht, dass der Dienstleister "frühzeitig" das Zertifikat wechselt, so lange das Alte noch aktiv/gültig ist (außer das Neue hat die oben genannte Laufzeit).

2. Stimmt die Aussage des Kundenservice für das SSL-Zertifikat von thawte?
Leider konnte ich dazu nichts finden.
Nur folgendes: https://www.psw-group.de/support/wie-funktioniert-bei-ihnen-die-zertifikatsverlaengerung/
Das sagt aber dazu auch nichts aus.
Wir wurden auch schon viel früher per Mail informiert, das nur nebenbei erwähnt.

 

[ChristianSL]

Sofern es nur um Domainvalidation geht: nehmt Letsencrypt und spart euch den ständigen Ärger und die Kosten.

Du kannst die Eckdaten von deinem Cert im Browser einsehen, wenn du oben, neben der URL, auf das kleine Schloss klickst (in Chrome neuerdings über Menü -> Developer).
Oder von einem anderen Server aus mit Hilfe der openssl Tools, zB so:

echo | openssl s_client -showcerts -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -inform pem -noout -text

 

[snaxilian]

In Chrome tut es auch F12
Ansonsten wie schon gesagt mit so ziemlich jedem Browser oder wie ChristianSL schon schrieb. Gibt bestimmt alternativ auch nen Powershell Befehl, Google ist da dein Freund.
Oder so ziemlich jede vernünftige Monitoring-Lösung sollte das Alter & Ablauf eines Zertifikats überwachen können.

Wenn ihr aber "nur" DV-Zertifikate benötigt: Fragt euren Hoster warum er nicht Lets Encrypt anbietet. Nicht weniger sicher/unsicher als die Bezahl-CAs.

 

[Oli-nux]

Sofern es nur um Domainvalidation geht: nehmt Letsencrypt und spart euch den ständigen Ärger und die Kosten.

Das müsste dann der Dienstleister, der für den Server etc. zuständig ist, machen und das käme dann teurer als ein 2 Jahres SSL-Zertifikat zu kaufen, da es dann ja alle 90 Tage erneuert werden müsste.

Ok, das liese sich per Cronjob automatisieren. Allerdings müsste das alles (Let's Ecnrypt) erstmal vom Dienstleister eingerichtet werden.

Du kannst die Eckdaten von deinem Cert im Browser einsehen, wenn du oben, neben der URL, auf das kleine Schloss klickst (in Chrome neuerdings über Menü -> Developer).

Das ist mir bekannt.
Allerdings möchte ich ja nicht die Laufzeit des Alten, sondern des neuen SSL-Zertifikats in Erfahrung bringen, welches noch nicht eingebunden ist.

 

[ChristianSL]

Komsichen Dienstleister habt ihr da...

Du kannst mit den openssl tools natürlich auch die Daten einer Zertifikatsdatei oder des Requests auslesen, siehe zB hier.

Ich versteh die Frage ansonsten nicht so recht. Wenn du ein Zertifikat über ein csr beantragst, dann ist das ab dem Moment gültig, für die gewünschte Dauer. Dein Zertifikatsprovider sollte dir rechtzeitg vor Ablauf eine Erinnerungsmail schicken.

Das kann man umgehen, indem man Letsencrypt benutzt, das wie du richtig erkannst hast über einen automatischen Job alle paar Wochen aktualisiert wird und zudem auch keine Kosten verursacht. Allerdings gibt es das aktuell nur für Domainvalidation.