浏览器跳过时区和更新安全证书

Question

周五晚上，我正在审查一家处理货币交易的公司的网站。没问题。周六早上，试着让我回到网站，但是Chrome和Safari都说他们不信任这个安全证书。我检查过了，验证已经过期了。奇怪的是。

然后今天早上，我再次访问了该网站，证书是有效的，我可以进入( Chrome和Safari)。

然后我注意到了一个怪癖。

由于证书不合格，通知称该证书将于2016年8月13日(周六) 8:59:59 JST到期。

但有了今天的有效证书，通知上说该证书从2016年8月13日格林尼治时间00:00开始有效。

我检查了时差，8:59:59 JST是23:59:59格林尼治时间(注:英国是夏季时间)。

这是浏览器如何检查证书有效性的问题吗？他们是否总是假设过期时间为23:59:59，有效期为00:00:00，但从不检查是否存在时区差异或夏季时差？

Answer 1

我的猜测是，网站的证书实际上过期了，然后他们买了一个新的，并在你再次检查之前更换了它。

当Comodo颁发证书时，“有效从”时间追溯到发出证书之日的世界协调时间00:00:00，“有效期到”时间是23:59:59。因此，新的证书可能会在8月13日的任何时候签发。

(这只是科摩罗的特殊政策。其他CA则以不同的方式处理。

现在尝试证明这一点有点晚了，但是您可以在像森塞斯这样的工具上搜索域，看看他们是否有昨天证书的副本。

假设时间表：

1. 2016-08-12 :00 JST (2016-08:12:00)：您成功访问了网站。旧证书将于2016-08-13 08:59:59 JST (2016-08-12 23:59:59 :59)、11:59:59从现在起过期。系统管理员不知道。
2. 2016-08-13 08:59:59 JST (2016-08-12 23:59:59 )：旧证书过期。所有的系统管理员都睡着了。
3. 2016-08-13 10:00 JST (2016-08-13 :01:00)：你访问网站就会出错。旧证书在01:01过期了。系统管理员还在睡觉。
4. 2016-08-13 15:00 JST (2016-08-13 06:00协调世界时)：系统管理员醒来，注意到他们搞砸了，并争相更换证书。新版本自2016-08-13 :00 JST (协调世界时00:00)起生效。
5. 2016-08-14 07:00 JST (2016-08-13 22:00)：您再次访问网站。当然，新的证书是有效的。

Answer 2

永远不要检查是否存在时区差异或夏季差异？

证书的过期时间在格林尼治标准时间(UTC)中设置。您看到的是不同浏览器呈现证书过期时间的不同，即Safari将证书转换为JST (可能是您的本地时区)，而Chrome则在GMT中显示它。检查本身是通过比较同一时区内的两个时间来完成的，即通常在检查之前将本地时间与GMT进行比较。

他们是否总是假设过期时间是23:59:59，有效期是00:00:00，

过期时间的精度为秒，浏览器以这种方式检查它。另外，一些CA可能会将过期时间设置为23:59:59，而其他CA则不会。