Golang实现检测SSL证书有效期
作者:彭世瑜
本文主要为大家详细介绍如何使用Go语言中的crypto/tls模块来获取网站的SSL/TLS证书信息并检查其有效期,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下
原理:使用go提供的模块 crypto/tls,可以获取域名证书的信息,通过到期时间可以判断证书是否过期
package main
import (
"crypto/tls"
"fmt"
)
func main() {
conn, _ := tls.Dial("tcp", "www.baidu.com:443", nil)
cert := conn.ConnectionState().PeerCertificates[0]
// 时间信息
fmt.Printf("NotBefore: %v\n", cert.NotBefore)
// NotBefore: 2022-07-05 05:16:02 +0000 UTC
fmt.Printf("NotAfter: %v\n", cert.NotAfter)
// NotAfter: 2023-08-06 05:16:01 +0000 UTC
// 其他信息
fmt.Printf("IPAddresses: %v\n", cert.IPAddresses)
// IPAddresses: []
fmt.Printf("IPAddresses: %v\n", conn.RemoteAddr())
// IPAddresses: 220.181.38.150:443
fmt.Printf("Version: %v\n", cert.Version)
fmt.Printf("SerialNumber: %v\n", cert.SerialNumber)
fmt.Printf("Issuer: %v\n", cert.Issuer)
fmt.Printf("Subject: %v\n", cert.Subject)
}
方法补充
方法一:
在 Go 语言中检测 SSL 证书是否到期,最常用的方法是利用标准库 crypto/tls 主动与服务器建立一次 TLS 连接,以此获取证书链,然后从证书的 NotAfter 字段解析出到期时间。
下面是一个通用函数 CheckSSLCertExpiry 的完整实现,它接受域名,返回证书的剩余有效天数和可能的错误。
package main
import (
"crypto/tls"
"fmt"
"net"
"time"
)
// CheckSSLCertExpiry 检查给定域名的 SSL 证书有效期,返回剩余天数
func CheckSSLCertExpiry(domain string) (int, error) {
// 1. 配置 tls.Config
// InsecureSkipVerify: true 用来绕过证书本身的校验,否则证书过期或无效时连接会失败,我们反而拿不到证书信息。
// ServerName: 显式设置 SNI,对于使用 CDN 的网站尤其重要,以防止获取到错误的默认证书。
conf := &tls.Config{
InsecureSkipVerify: true,
ServerName: domain,
}
// 2. 建立 TLS 连接
// 设置一个连接超时,防止网络问题导致程序长时间阻塞。
dialer := &net.Dialer{Timeout: 10 * time.Second}
conn, err := tls.DialWithDialer(dialer, "tcp", fmt.Sprintf("%s:443", domain), conf)
if err != nil {
return 0, fmt.Errorf("failed to connect to %s: %w", domain, err)
}
defer conn.Close()
// 3. 获取证书链
// PeerCertificates 返回的是对端发送的证书链,第一个元素 (索引0) 通常是服务器本身的证书(叶子证书)。
certs := conn.ConnectionState().PeerCertificates
if len(certs) == 0 {
return 0, fmt.Errorf("no certificates found for %s", domain)
}
leafCert := certs[0]
// 4. 计算剩余天数
// NotAfter 是 UTC 时间,time.Now() 返回的是本地时间,但 Go 的 time 包在比较时会自动转换到同一时区,所以直接相减是安全的。
// 使用 math.Ceil 确保剩余天数向上取整,避免因精度问题将 "剩余0.9天" 显示为 "0天"。
remaining := time.Until(leafCert.NotAfter)
days := int(remaining.Hours() / 24)
if remaining.Hours() > 0 && days == 0 {
days = 1
}
return days, nil
}
func main() {
// 示例:检查 example.com 的证书有效期
domain := "www.baidu.com"
days, err := CheckSSLCertExpiry(domain)
if err != nil {
fmt.Printf("Error: %v\n", err)
return
}
fmt.Printf("SSL certificate for %s is valid for %d more days.\n", domain, days)
}代码核心逻辑解读
你可以对照上面代码中的注释,理解关键步骤:
tls.Config配置:通过InsecureSkipVerify: true让连接跳过常规验证,这样即使是过期或无效的证书也能建立连接,以便我们获取信息。同时设置ServerName指定了 SNI,这对于使用 CDN 的域名非常关键。- 建立连接:使用
tls.DialWithDialer替代tls.Dial可以方便地设置连接超时。 - 获取证书:
conn.ConnectionState().PeerCertificates返回证书链,其中第一个元素(索引 0)通常就是该域名的“叶子证书”。 - 计算天数:用
time.Until(cert.NotAfter)计算剩余时间,并通过remaining.Hours()/24得到剩余天数。
注意事项
- 关于
InsecureSkipVerify:这个标志的使用确实存在安全隐患,但在这个检测场景下是必需的,因为它允许你检查那些已经过期、自签名或由不受信任的 CA 签发的证书,这正是我们要检测的。核心是,我们只读取证书的元数据,而不是依赖它对服务器的身份进行认证。 - 处理连接错误:在实践中,网络问题(如 DNS 解析失败、连接超时)很常见。上述代码中已经加入了超时和错误处理,你应该在实际应用中根据需求区分这些错误和证书过期的错误。
- 并发检查:如果你需要检查大量域名,建议使用 Go 的 goroutine 并发执行,但要注意控制并发数量,以免对网络或目标服务器造成过大压力。
- 时区处理:
NotAfter是 UTC 时间,而time.Now()返回本地时间。Go 的time包在计算time.Until时会自动处理时区差异,所以直接相减是安全的。
方法二:使用GO语言验证证书的有效期
要使用 Go 语言验证证书的有效期,可以使用以下代码示例:
package main
import (
"crypto/x509"
"encoding/pem"
"fmt"
"io/ioutil"
"time"
)
func main() {
certPEM, err := ioutil.ReadFile("path/to/certificate.pem")
if err != nil {
fmt.Println("Error reading certificate file:", err)
return
}
block, _ := pem.Decode(certPEM)
if block == nil {
fmt.Println("Failed to parse certificate PEM")
return
}
cert, err := x509.ParseCertificate(block.Bytes)
if err != nil {
fmt.Println("Error parsing certificate:", err)
return
}
fmt.Println("Certificate Expiry Date:", cert.NotAfter)
now := time.Now()
if now.Before(cert.NotBefore) {
fmt.Println("Certificate is not yet valid")
} else if now.After(cert.NotAfter) {
fmt.Println("Certificate has expired")
} else {
fmt.Println("Certificate is valid")
}
}在上面的代码中,需要将 path/to/certificate.pem 替换为您要验证的证书文件的路径。代码将读取证书文件,解析证书并检查当前时间是否在证书的有效期内。根据验证结果,将输出相应的结果。
方法三:golang获取证书过期时间
func GetDomainSslExpireDate(domain string) string {
if !strings.HasPrefix(domain, "http") {
domain = fmt.Sprint("https://", domain)
}
command := fmt.Sprint("curl -v -I -k ", domain)
cmd := exec.Command("/bin/bash", "-c", command)
output, err := cmd.CombinedOutput()
if err != nil {
return time.Time{}
}
outStr := string(output)
outArr := strings.Split(outStr, "\n")
for _, out := range outArr {
if strings.Contains(out, "expire date") {
return out[strings.Index(out, ":")+1:]
return StrToDate(dateStr)
}
}
return ""
}到此这篇关于Golang实现检测SSL证书有效期的文章就介绍到这了,更多相关Go检测https证书有效期内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!