一段php小代码,监控SSL证书过期问题

网站那些事

发布于 2018-05-05 21:13:36

2.7K00

代码可运行

文章被收录于专栏：网站那些事网站那些事

运行总次数：0

代码可运行

Let’s Encrypt 的简介

Let’s Encrypt ，它拥有较短的有效期（三个月）；通过 acme 协议，API 自动颁发证书；让一切 web 流量加密的理念；知名机构的支持； http/2.0 的摧枯拉朽，使得短时间内大行其道。

SSL 证书监控的缺失

传统手工申请安装证书有效期较长，使得证书过期问题被忽略。阿里云栖社区、新浪SAE、七牛等公司都有过生产环境证书过期的事故，可参见 v2ex 搜索的搜索记录。SSL 证书的监控不应该是缺失的一部分，除了公民，一切都应该被监控。

如何使用 PHP 辅助监控 SSL 证书过期问题？

通过 stream_context_create、stream_context_get_params、openssl_x509_parse 三个函数，我们可以得到 SSL 证书资源很多信息，包括证书的过期时间。这里有个 gist 获取了百度的证书信息。

我们可以编写一个检测页面，只要即将过期，就抛出异常。然后使用阿里云监控这类成熟监控服务添加这个页面，设置一旦状态码 >= 400 立即报错，能够推送短信、邮件、钉钉。

<?php
$g = stream_context_create ([
    "ssl" => ["capture_peer_cert" => true],
    'http' => [
          'method' => 'GET',
        'user_agent' => 'shouwang.io ssl detector',
        'timeout'=>10
    ]
]);
$r = fopen("https://www.506064.com/", "rb", false, $g);
$cont = stream_context_get_params($r);
$cert = openssl_x509_parse($cont["options"]["ssl"]["peer_certificate"]);

if(empty($cert['validTo_time_t'])) {
    throw new \Exception("Can't get cert expire time");
}

$fortyEightHours = strtotime("+48 hours");
if($cert['validTo_time_t'] <= $fortyEightHours) {
    throw new \Exception("Cert will expire in 48 hours");
} else {
    echo "Cert would expired at ", date("Y-m-d H:i:s", $cert['validTo_time_t']);
}