bg-tutorials

Cara Memeriksa Tanggal Kedaluwarsa Sertifikat SSL dengan OpenSSL

Sertifikat SSL memiliki masa berlaku terbatas dan harus diperbarui secara berkala agar tetap dipercaya oleh browser. Sertifikat publik yang diterbitkan setelah 15 Maret 2026 dibatasi hingga 200 hari, dengan masa berlaku maksimum turun menjadi 100 hari pada 15 Maret 2027 dan 47 hari pada 15 Maret 2029. Mengetahui dengan tepat kapan sertifikat kedaluwarsa membantu Anda memperbarui tepat waktu dan menghindari gangguan layanan.

Panduan ini menunjukkan cara memeriksa kedaluwarsa sertifikat dengan OpenSSL: untuk server yang sedang berjalan, untuk file lokal, dan cara memeriksa apakah sertifikat akan segera kedaluwarsa.

Jawaban cepat:

Untuk website yang sedang berjalan, jalankan:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate. 

Untuk file sertifikat, jalankan:

openssl x509 -in your_certificate.pem -noout -enddate. 

Nilai notAfter adalah tanggal kedaluwarsa.

Metode 1: Periksa sertifikat pada server yang sedang berjalan

Metode ini terhubung ke website yang sedang berjalan dan membaca sertifikat yang disajikannya, Anda tidak memerlukan file sertifikat. Metode ini berfungsi untuk host mana pun yang dapat dijangkau (domain jarak jauh, atau localhost dengan port yang tepat untuk server lokal).

Di Linux dan macOS

echo | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -enddate

Ganti yourdomain.com dengan domain Anda yang sebenarnya. Perintah-perintah tersebut identik di macOS, karena macOS bersifat Unix-like (bawaan openssl-nya adalah LibreSSL, yang mendukung opsi-opsi ini).

Di Windows

  • Buka Command Prompt atau PowerShell (tekan Win + R, ketik cmd atau powershell, lalu tekan Enter).
  • Jalankan:
echo | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>nul | openssl x509 -noout -enddate

Di Windows, gunakan 2>nul sebagai pengganti 2>/dev/null untuk membuang pesan error.

Metode 2: Periksa sertifikat dari file PEM

File PEM adalah sertifikat yang dikodekan base64 yang diawali dengan —–BEGIN CERTIFICATE—– dan diakhiri dengan —–END CERTIFICATE—–. Gunakan metode ini ketika Anda memiliki file sertifikat di disk.

Di Linux dan macOS

Pindah ke folder yang menyimpan sertifikat Anda, lalu baca tanggal berakhirnya (ganti your_certificate.pem dengan nama file Anda):

cd /path/to/your/certificate/directory
openssl x509 -in your_certificate.pem -noout -enddate

Di Windows

cd C:pathtoyourcertificatedirectory
openssl x509 -in your_certificate.pem -noout -enddate

Pastikan OpenSSL sudah terinstal dan ada di PATH Anda; jika tidak, tentukan path lengkap ke binary openssl.exe.

Lihat kedua tanggal, atau periksa apakah sertifikat akan segera kedaluwarsa

Untuk melihat tanggal penerbitan (notBefore) dan tanggal kedaluwarsa (notAfter), gunakan -dates sebagai pengganti -enddate:

openssl x509 -in your_certificate.pem -noout -dates

Untuk memeriksa apakah sertifikat akan kedaluwarsa dalam jangka waktu tertentu, gunakan -checkend dengan jumlah detik (di sini, 2592000 detik = 30 hari):

openssl x509 -in your_certificate.pem -noout -checkend 2592000

Perintah ini mencetak Certificate will not expire (dan keluar dengan status 0) atau Certificate will expire (status 1) – yang menjadikannya ideal untuk skrip pemantauan dan cron job.

Memahami perintah dan output

Ambil perintah live-server dan outputnya sebagai contoh:

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -enddate

Output:

notAfter=Sep 15 23:59:59 2026 GMT

Berikut penjelasan setiap bagiannya:

  • echo | – mengirim input kosong agar perintah selesai tanpa menunggu interaksi.
  • openssl s_client – membuka koneksi SSL/TLS ke server.
  • -servername example.com – mengatur Server Name Indication (SNI), diperlukan ketika server menghosting beberapa sertifikat untuk domain yang berbeda.
  • -connect example.com:443 – host dan port yang akan dihubungi (port 443 adalah port HTTPS standar).
  • 2>/dev/null (Linux/macOS) atau 2>nul (Windows) – membuang pesan error sehingga hanya output yang relevan yang ditampilkan.
  • | openssl x509 -noout -enddate – meneruskan sertifikat ke tool x509; -noout menekan tampilan PEM dan -enddate hanya mencetak tanggal kedaluwarsa.
  • notAfter=… – tanggal dan waktu sertifikat berhenti berlaku.

Otomatiskan: berhenti melacak tanggal secara manual

Daripada memeriksa tanggal kedaluwarsa secara manual, terutama saat masa berlaku semakin pendek menuju 47 hari, Anda dapat menggunakan ACME sebagai Certificate-as-a-Service (CaaS). Layanan ini menangani validasi domain, menginstal sertifikat, dan memperbaruinya secara otomatis sebelum kedaluwarsa, sehingga situs Anda tetap dipercaya tanpa intervensi manual.

Kesimpulan

OpenSSL memeriksa kedaluwarsa sertifikat dalam satu baris, dari server yang sedang berjalan dengan s_client, atau dari file dengan x509 -enddate, sementara -dates dan -checkend menambahkan tanggal penerbitan dan pemeriksaan akan-segera-kedaluwarsa. Field notAfter memberi tahu Anda dengan tepat kapan harus memperbarui agar dapat menghindari gangguan layanan. Ketika Anda siap untuk memperbarui, jelajahi sertifikat SSL kami.

Hemat 10% untuk Sertifikat SSL saat memesan hari ini!

Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10

Ditulis oleh

Penulis konten berpengalaman yang berspesialisasi dalam Sertifikat SSL. Mengubah topik keamanan siber yang rumit menjadi konten yang jelas dan menarik. Berkontribusi untuk meningkatkan keamanan digital melalui narasi yang berdampak.