Golang实现检测SSL证书有效期
更新时间:2026年04月20日 09:41:42 作者:彭世瑜
本文主要为大家详细介绍如何使用Go语言中的crypto/tls模块来获取网站的SSL/TLS证书信息并检查其有效期,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下
原理:使用go提供的模块 crypto/tls,可以获取域名证书的信息,通过到期时间可以判断证书是否过期
package main
import (
"crypto/tls"
"fmt"
)
func main() {
conn, _ := tls.Dial("tcp", "www.baidu.com:443", nil)
cert := conn.ConnectionState().PeerCertificates[0]
// 时间信息
fmt.Printf("NotBefore: %v\n", cert.NotBefore)
// NotBefore: 2022-07-05 05:16:02 +0000 UTC
fmt.Printf("NotAfter: %v\n", cert.NotAfter)
// NotAfter: 2023-08-06 05:16:01 +0000 UTC
// 其他信息
fmt.Printf("IPAddresses: %v\n", cert.IPAddresses)
// IPAddresses: []
fmt.Printf("IPAddresses: %v\n", conn.RemoteAddr())
// IPAddresses: 220.181.38.150:443
fmt.Printf("Version: %v\n", cert.Version)
fmt.Printf("SerialNumber: %v\n", cert.SerialNumber)
fmt.Printf("Issuer: %v\n", cert.Issuer)
fmt.Printf("Subject: %v\n", cert.Subject)
}
方法补充
方法一:
在 Go 语言中检测 SSL 证书是否到期,最常用的方法是利用标准库 crypto/tls 主动与服务器建立一次 TLS 连接,以此获取证书链,然后从证书的 NotAfter 字段解析出到期时间。
下面是一个通用函数 CheckSSLCertExpiry 的完整实现,它接受域名,返回证书的剩余有效天数和可能的错误。
package main
import (
"crypto/tls"
"fmt"
"net"
"time"
)
// CheckSSLCertExpiry 检查给定域名的 SSL 证书有效期,返回剩余天数
func CheckSSLCertExpiry(domain string) (int, error) {
// 1. 配置 tls.Config
// InsecureSkipVerify: true 用来绕过证书本身的校验,否则证书过期或无效时连接会失败,我们反而拿不到证书信息。
// ServerName: 显式设置 SNI,对于使用 CDN 的网站尤其重要,以防止获取到错误的默认证书。
conf := &tls.Config{
InsecureSkipVerify: true,
ServerName: domain,
}
// 2. 建立 TLS 连接
// 设置一个连接超时,防止网络问题导致程序长时间阻塞。
dialer := &net.Dialer{Timeout: 10 * time.Second}
conn, err := tls.DialWithDialer(dialer, "tcp", fmt.Sprintf("%s:443", domain), conf)
if err != nil {
return 0, fmt.Errorf("failed to connect to %s: %w", domain, err)
}
defer conn.Close()
// 3. 获取证书链
// PeerCertificates 返回的是对端发送的证书链,第一个元素 (索引0) 通常是服务器本身的证书(叶子证书)。
certs := conn.ConnectionState().PeerCertificates
if len(certs) == 0 {
return 0, fmt.Errorf("no certificates found for %s", domain)
}
leafCert := certs[0]
// 4. 计算剩余天数
// NotAfter 是 UTC 时间,time.Now() 返回的是本地时间,但 Go 的 time 包在比较时会自动转换到同一时区,所以直接相减是安全的。
// 使用 math.Ceil 确保剩余天数向上取整,避免因精度问题将 "剩余0.9天" 显示为 "0天"。
remaining := time.Until(leafCert.NotAfter)
days := int(remaining.Hours() / 24)
if remaining.Hours() > 0 && days == 0 {
days = 1
}
return days, nil
}
func main() {
// 示例:检查 example.com 的证书有效期
domain := "www.baidu.com"
days, err := CheckSSLCertExpiry(domain)
if err != nil {
fmt.Printf("Error: %v\n", err)
return
}
fmt.Printf("SSL certificate for %s is valid for %d more days.\n", domain, days)
}代码核心逻辑解读
你可以对照上面代码中的注释,理解关键步骤:
tls.Config配置:通过InsecureSkipVerify: true让连接跳过常规验证,这样即使是过期或无效的证书也能建立连接,以便我们获取信息。同时设置ServerName指定了 SNI,这对于使用 CDN 的域名非常关键。- 建立连接:使用
tls.DialWithDialer替代tls.Dial可以方便地设置连接超时。 - 获取证书:
conn.ConnectionState().PeerCertificates返回证书链,其中第一个元素(索引 0)通常就是该域名的“叶子证书”。 - 计算天数:用
time.Until(cert.NotAfter)计算剩余时间,并通过remaining.Hours()/24得到剩余天数。
注意事项
- 关于
InsecureSkipVerify:这个标志的使用确实存在安全隐患,但在这个检测场景下是必需的,因为它允许你检查那些已经过期、自签名或由不受信任的 CA 签发的证书,这正是我们要检测的。核心是,我们只读取证书的元数据,而不是依赖它对服务器的身份进行认证。 - 处理连接错误:在实践中,网络问题(如 DNS 解析失败、连接超时)很常见。上述代码中已经加入了超时和错误处理,你应该在实际应用中根据需求区分这些错误和证书过期的错误。
- 并发检查:如果你需要检查大量域名,建议使用 Go 的 goroutine 并发执行,但要注意控制并发数量,以免对网络或目标服务器造成过大压力。
- 时区处理:
NotAfter是 UTC 时间,而time.Now()返回本地时间。Go 的time包在计算time.Until时会自动处理时区差异,所以直接相减是安全的。
方法二:使用GO语言验证证书的有效期
要使用 Go 语言验证证书的有效期,可以使用以下代码示例:
package main
import (
"crypto/x509"
"encoding/pem"
"fmt"
"io/ioutil"
"time"
)
func main() {
certPEM, err := ioutil.ReadFile("path/to/certificate.pem")
if err != nil {
fmt.Println("Error reading certificate file:", err)
return
}
block, _ := pem.Decode(certPEM)
if block == nil {
fmt.Println("Failed to parse certificate PEM")
return
}
cert, err := x509.ParseCertificate(block.Bytes)
if err != nil {
fmt.Println("Error parsing certificate:", err)
return
}
fmt.Println("Certificate Expiry Date:", cert.NotAfter)
now := time.Now()
if now.Before(cert.NotBefore) {
fmt.Println("Certificate is not yet valid")
} else if now.After(cert.NotAfter) {
fmt.Println("Certificate has expired")
} else {
fmt.Println("Certificate is valid")
}
}在上面的代码中,需要将 path/to/certificate.pem 替换为您要验证的证书文件的路径。代码将读取证书文件,解析证书并检查当前时间是否在证书的有效期内。根据验证结果,将输出相应的结果。
方法三:golang获取证书过期时间
func GetDomainSslExpireDate(domain string) string {
if !strings.HasPrefix(domain, "http") {
domain = fmt.Sprint("https://", domain)
}
command := fmt.Sprint("curl -v -I -k ", domain)
cmd := exec.Command("/bin/bash", "-c", command)
output, err := cmd.CombinedOutput()
if err != nil {
return time.Time{}
}
outStr := string(output)
outArr := strings.Split(outStr, "\n")
for _, out := range outArr {
if strings.Contains(out, "expire date") {
return out[strings.Index(out, ":")+1:]
return StrToDate(dateStr)
}
}
return ""
}到此这篇关于Golang实现检测SSL证书有效期的文章就介绍到这了,更多相关Go检测https证书有效期内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Go语言中数组是固定大小的值类型,切片是动态引用类型,包含指针、长度和容量,切片支持追加、删除等操作,但不能直接比较,数组长度固定,切片可灵活扩容,常用于动态数据场景2025-09-09
这篇文章主要介绍了Go语言中的流程控制结构和函数详解,本文详细讲解了if、goto、for、switch等控制语句,同时对函数相关知识做了讲解,需要的朋友可以参考下2014-10-10
这篇文章主要介绍了Go语言二维数组的传参方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-04-04
Go语言借助它的简单性和强大的标准库,实现一个自己的密码加密工具,本文将会结合代码示例深入探讨如何使用Go语言的crypto包来实现自己的加密工具2023-11-11
最近有遇到需要用go读取文件的情况,下面这篇文章主要给大家介绍了关于go按行读取文件的三种实现方式,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2022-09-09
这篇文章主要介绍了Golang中间件设计示例,中间件是在HTTP请求处理过程中,对请求进行处理的一种模式,中间件可以在请求到达处理器之前或之后对请求进行拦截,修改或者增强,同时可以对响应进行处理,需要的朋友可以参考下2023-05-05
在go中集成postgresql需使用gorm orm,步骤如下:安装go和postgresql,安装 gorm:go get -u gorm.io/gorm,配置数据库连接字符串,定义模型类,迁移数据库架构,使用 gorm 进行增删改查操作,本指南将介绍如何使用 GORM(一个广受欢迎的 ORM),将PostgreSQL集成到你的Go应用中2024-08-08
这篇文章主要为大家详细介绍了Go官方库x中提供的扩展并发原语 semaphore,译为“信号量”,文中介绍了它的原理与使用,需要的可以了解下2025-02-02
这篇文章主要介绍了Go语言中的匿名结构体用法,实例分析了匿名结构体的使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下2015-02-02
这篇文章主要为大家详细介绍了Go语言中如何实现将中文转化为拼音功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下2025-01-01
最新评论