Влияет ли переиздание сертификата SSL на ранее выданный сертификат?

15

Я использовал функцию «переиздать сертификат» у поставщика SSL-сертификатов (RapidSSL, FWIW), чтобы получить новый сертификат - при этом я создал и использовал новый закрытый ключ и фразу-пароль.

Приведет ли повторная выдача этого сертификата к тому, что ранее выданный сертификат станет недействительным? Если да, то сколько времени это займет?

бондарь
источник
1
Если сертификат будет переиздан, прежде чем я смогу обновить свои серверы, будет ли недействительный сертификат затронут пользователей?
Coderama

Ответы:

9

Не автоматически, для RapidSSL. Для других поставщиков и / или оценок сертификатов это может быть автоматическим.

RapidSS не делает сертификат недействительным автоматически при его повторной выдаче в соответствии с Положением о практике сертификации . Это будет зависеть от того, сколько вы платите за сертификат.

В разделе II.B.5 текущей CPS- совместимой CPS :

GeoTrust не будет отзывать сертификат, ранее выданный после запроса на возврат или повторную выдачу. Запрос о возврате или перевыпуске Сертификата не будет рассматриваться как запрос Абонента на отзыв сертификата, ранее выданного GeoTrust, если только Подписчик не следует процедурам запроса отзыва, как указано в Разделе III.I. этого CPS.

В разделе III.I говорится:

Отзыв сертификата - это процесс, с помощью которого GeoTrust досрочно завершает срок действия сертификата, публикуя серийный номер сертификата в списке отзыва сертификатов. Абонент должен проинформировать GeoTrust и незамедлительно запросить отзыв сертификата:

  • всякий раз, когда какая-либо информация в Сертификате изменяется или становится устаревшей; или
  • всякий раз, когда секретный ключ или носитель, содержащий закрытый ключ, связанный с сертификатом, подвергается риску; или
  • при смене владельца веб-сервера подписчика. Абонент должен указать причину (и) для запроса отзыва при отправке запроса.

В других местах минимально обещается, что отозванные сертификаты будут добавляться в CRL «хотя бы раз в неделю».

Прочитать заявление о практике сертификатов любого покупателя услуг SSL-сертификатов - хорошая вещь для покупателя.

Дэвид Баллок
источник
3

Да, они отзовут старый сертификат.

Способ, которым работает отзыв SSL, заключается в том, что внутри сертификата поставщик размещает URL-адрес, по которому клиент (например, браузер) должен проверить, действителен ли сертификат (называемый CRL).

Таким образом, нет жесткого и быстрого ответа на это, это зависит от клиента. В некоторых случаях, например, в этой статье , предполагается, что она вообще не будет проверяться.

сойка
источник
Это не автоматически, что эмитент сертификата поместит старые сертификаты в CRL.
Дэвид Баллок