Що станеться при скасуванні сертифіката SSL?

Зараз ми використовуємо стандартний сертифікат SSL для домену, скажімо, example.com, розміщений на 300 серверах. Коли хтось запитує https://example.com, один із серверів подає запит.

Тепер ми хочемо модернізувати наш сертифікат SSL з "Стандартного" до такого, який захищає кілька піддоменів. Наш реєстратор GoDaddy повідомив нам, що нам потрібно скасувати поточний сертифікат і замість цього буде видано нове.

Тепер, як тільки нова версія буде видана нам, нам буде потрібно приблизно 10 днів, щоб замінити старіший на 300 серверах. За ці 10 днів, якщо наші користувачі запитують, https://example.comа сервер, у якого ще є старий сертифікат, обслуговує цей запит, то що буде показано у браузері користувача?

Чи побачить користувач недійсну помилку сертифіката?

ПРИМІТКА. Просто для того, щоб увімкнути всі зворотні реакції, причина, через яку потрібно 10 днів, щоб оновити понад 300 серверів, полягає в тому, що мої сервери розміщені в приватних автобусах, поїздах та літаках, і вони обслуговують запит через офлайн-гарячу точку. Вони можуть обслуговувати кілька запитів без підключення до Інтернету протягом днів. А отже, згідно з нашою останньою швидкістю оновлення, мені знадобиться приблизно 10 днів, щоб оновити їх усі.

ssl ssl-certificate

— Картик
джерело

Ви недостатньо автоматизували своє оточення. Ви повинні мати можливість замінити всі ці сертифікати в одній команді за кілька хвилин.

— Майкл Хемптон

Ви запитували GoDaddy, чи дійсно вони "відкликають" сертифікат (додадуть його до свого списку відкликань сертифікації) у цьому сценарії? Раніше я працював з іншим провайдером (не можу пригадати, який), який би не відкликав сертифікати лише тому, що один був "скасований" по-діловому, але робитиме відкликання лише у випадку підозри на помилку, щоб зменшити розмір CRL.

— Пер фон Цвайгберк

@PervonZweigbergk Правильно. Але я просто зрозумів, що, можливо, цей сертифікат SSL був халявою, підключеною до реєстраційного пакету. Незалежно від технічної точки зору ви можете мати десятки сертифікатів SSL для хоста; термін дії не залежить від будь-якого питання щодо отримання нових або декількох сертифікатів.

— JakeGould

Я не розумію, як ви можете виправдати розтягнення цього завдання на десять днів , навіть якщо вам доведеться змінювати сертифікат вручну на кожному сервері. Це практична реальність чомусь (з якої причини?), Чи це просто те, що ви кажете своєму менеджеру? Одна людина повинна бути в змозі зробити це вранці, якщо ви не набираєте нічого, окрім двох вказівних пальців ... і навіть тоді десять днів не викликає підозр.

— Гонки легкості з Монікою

Просто для того, щоб увімкнути всі реакції в спокої, причиною оновлення понад 300 серверів потрібно 10 днів, тому що мої сервери розміщені в приватних автобусах, поїздах та літаках, і вони обслуговують запит через автономну точку доступу. Вони можуть обслуговувати кілька запитів без підключення до Інтернету протягом днів. А отже, згідно з нашою останньою швидкістю оновлення, мені знадобиться приблизно 10 днів, щоб оновити їх усі.

— Картик

Якщо відмовитись від того, що у вас є 300 серверів (!!!), і ви, здається, говорите, що процес не автоматизований, тому на його завершення піде 10 днів (!!!), сценарій, описаний GoDaddy, здається, вимкнено. ПРИМІТКА. Прокоментуйте неважливо зараз, коли на 300 серверах розміщено чіткіший контекст за 10 днів випуску; логістика переміщення / спорадично пов'язаних серверів має сенс.

Так, якщо ви хочете створити новий сертифікат, старий сертифікат SSL повинен бути відкликаний (він же скасований). Але, на мій досвід, сертифікати SSL не потрібно негайно відкликати, оскільки був виданий новий сертифікат SSL. Ви можете подвоїти перевірку з GoDaddy щодо цього.

3 сертифікати, реєстратори та послуги хостингу SSL - це 3 різні речі. Іноді реєстратор наполягає на тому, що вони єдині, хто може видати сертифікат SSL для домену, який він, можливо, зареєстрував у них. Але ви можете майже отримати сертифікат SSL від кожного, хто пропонує його, а потім без проблем використовувати його на поточних серверах.

Якщо GoDaddy справді болить з цього приводу, я рекомендую просто отримати сертифікат SSL з іншого джерела.

Таким чином ви можете поетапно отримати новий сертифікат SSL на 300 серверах, зберігаючи при цьому старий сертифікат SSL. І тоді, коли ви закінчите з переходом, офіційно відкликаєте старий сертифікат, щоб ви закінчили його.

— JakeGould
джерело

Оскільки процес заміни сертифікатів не є автоматизованим - уявіть, що буде, якщо хтось насправді вкраде один із ваших сертифікатів, і вам доведеться скасувати його. Ви дійсно можете дозволити собі роботу сайту на 10 днів?

— Пер фон Цвайгберк

Більшу частину цієї відповіді ви маєте на увазі "скасовано", а не "минув". Сертифікати, як правило, відкликаються їх емітентом при скасуванні, вони не закінчуються (термін їх дії залишається недоторканим, оскільки він не повторно поширюється на CRLs / OCSP / тощо).

— Кріс Даун

@ChrisDown Дякую за улов. Мій пізній вечірній мозок перетворився "скасовано" на "минув". Відредаговано, щоб натомість використовувати "скасовано".

— JakeGould

@JakeGould Ви мали рацію. Я отримав новий сертифікат, і в той же час, старий я все ще активний. Виявляється, я маю повноваження вирішувати, коли відкликати стару. Я можу тримати обох активних, поки хочу.

— Картик

@Kartik Щасливий, це вийшло для вас. Сертифікати не є магією; вони є лише речами, які визначають, хто ваш сервер у світі, і підтверджують його за допомогою "повноважень" сторонніх організацій. І як такий, ти завжди у владі. Той, хто має намір інше, просто намагається створити сумнів для цілей продажу. Раді, що допомогли!

— JakeGould