Pour lire un certificat ssl distant (généralement un site web) pour voir sa validité est faisable avec la commande openssl

openssl s_client -connect <domaine>:443 -state on peut rajouter -d pour débugguer

exemple :

openssl s_client -connect tools.pra.rip:443 -state 

openssl s_client -connect duckduckgo.com:443 -state

 

Vérifier les versions TLS supportées :

openssl s_client -connect <domaine>:443 -tls<version>

<version> : 1, 1_1,1_2

example : 

openssl s_client -connect pra.rip:443 -tls1_1  (refuse TLS1.1)

openssl s_client -connect duckduckgo.com:443 -tls1_1  (accepte TLS1.1)

On va utiliser la commande openssl

openssl x509 -in <fichier_au_format_DER> -inform der -outform pem -out <fichier_au_format_PEM>

Il faut pour cela lire le certificat fournit par l'autorité de certification voir : Apache2 - lire un certificat ssl

Il y a une ligne qui commence par  : CA Issuers - URI: suivi d'une URL, c'est cette URL qui fournit le CA

 

par exemple :

Authority Information Access:

CA Issuers - URI:http://crt.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crt

 

Le certificat  (CA) peut être de la forme DER

pour le lire directement il est possible d'utiliser la commande wget -O - URL | openssl x509 -inform DER

exemple :

wget -O - http://crt.sectigo.com/SectigoRSAOrganizationValidationSecureServerCA.crt | openssl x509 -inform DER

Quand a été exécuté l'analyse, le vacuum, l'autovacuum:

select relname,last_vacuum, last_autovacuum, last_analyze, last_autoanalyze from pg_stat_user_tables;