Что происходит при отмене SSL-сертификата?

14

В настоящее время мы используем стандартный SSL-сертификат для домена, например example.com, размещенного на 300 серверах. Когда кто-то запрашивает https://example.com, один из серверов обслуживает запрос.

Теперь мы хотим обновить наш SSL-сертификат со стандартного на тот, который защищает несколько поддоменов. Наш регистратор GoDaddy сообщил нам, что нам нужно будет отменить текущий сертификат, и вместо этого будет выпущен новый.

Теперь, когда нам выдают новый, нам потребуется около 10 дней для замены старого на 300 серверах. В те 10 дней, если запрос наших пользователей https://example.comи сервер, который все еще имеет старый сертификат, обслуживает запрос, то что будет отображаться в браузере пользователя?

Увидит ли пользователь неверную ошибку сертификата?

ПРИМЕЧАНИЕ. Просто для того, чтобы устранить обратную реакцию, причина, по которой требуется 10 дней для обновления более 300 серверов, заключается в том, что мои серверы развернуты в частных автобусах, поездах и на воздушных судах и обслуживают запрос через автономную точку доступа. Они могут обслуживать несколько запросов без подключения к Интернету в течение нескольких дней. И, следовательно, согласно нашей последней частоте обновления, мне потребуется около 10 дней, чтобы обновить все из них.

ssl ssl-certificate Картик
источник
12
Вы недостаточно автоматизировали свою среду. Вы сможете заменить все эти сертификаты одной командой за несколько минут.
Майкл Хэмптон
3
Вы спрашивали GoDaddy, будут ли они в действительности «отзывать» сертификат (добавить его в свой список отзыва сертификатов) в этом сценарии? Раньше я работал с другим провайдером (не могу вспомнить, какой именно), который не отменил бы сертификаты только потому, что он был «отменен» по деловым соображениям, но отзовался бы только в случае подозрений в нечестной игре, чтобы уменьшить размер CRL.
Per von Zweigbergk
1
@PervonZweigbergk Правильно. Но я только что понял, что, возможно, этот SSL-сертификат был какой-то халявой, связанной с пакетом регистрации. Независимо от технической точки зрения вы можете иметь десятки SSL-сертификатов для хоста; истечение срока действия не зависит от получения новых или нескольких сертификатов.
JakeGould
2
Я не понимаю, как вы можете оправдать продление этой задачи до десяти дней , даже если вам придется менять сертификат вручную на каждом сервере. Это практическая реальность по какой-то причине (какая причина?), Или это то, что вы говорите своему менеджеру? Один человек должен быть в состоянии сделать это утром, если вы не печатаете только двумя указательными пальцами ... и даже тогда десять дней - это подозрительно.
Легкость гонки с Моникой
4
Просто чтобы устранить негативную реакцию, причина, по которой требуется обновить более 300 серверов в течение 10 дней, заключается в том, что мои серверы развернуты в частных автобусах, поездах и самолетах и ​​обслуживают запросы через автономную точку доступа. Они могут обслуживать несколько запросов без подключения к Интернету в течение нескольких дней. И, следовательно, согласно нашей последней частоте обновления, мне потребуется около 10 дней, чтобы обновить все из них.
Картик

Ответы:

13

Если оставить в стороне тот факт, что у вас есть 300 серверов (!!!), и вы, кажется, говорите, что процесс не автоматизирован, так что для его завершения потребуется 10 дней (!!!), сценарий, описанный GoDaddy, кажется неработоспособным. ПРИМЕЧАНИЕ. Комментарий теперь не имеет значения, поскольку более ясный контекст размещен на 300 серверах в течение 10 дней; логистика движущихся / спорадически связанных серверов имеет смысл.

Да, если вы хотите создать новый сертификат, старый сертификат SSL следует отозвать (он же отменен). Но по моему опыту SSL-сертификаты не должны быть немедленно отозваны, потому что был выдан новый SSL-сертификат. Возможно, вы захотите перепроверить с GoDaddy об этом.

Также SSL сертификаты, регистраторы и хостинг - это 3 разные вещи. Иногда регистратор будет настаивать на том, что они единственные, кто может выдать сертификат SSL для домена, который они могли зарегистрировать в них. Но вы можете получить сертификат SSL от любого, кто его предлагает, а затем использовать его на своих текущих серверах без проблем.

Если GoDaddy действительно беспокоится об этом, я бы порекомендовал просто получить сертификат SSL из другого источника.

Таким образом, вы можете ввести новый сертификат SSL на 300 серверах, сохранив старый сертификат SSL. И затем, когда вы закончили с переходом, официально отозвали старый сертификат, так что вы сделали с ним.

JakeGould
источник
8
Относительно того, что процесс замены сертификата не автоматизирован - представьте, что произойдет, если кто-то на самом деле украдет один из ваших сертификатов, и вам придется отозвать его. Можете ли вы позволить себе отключить ваш сайт на 10 дней?
Пер фон Цвайгбергк
1
Для большей части этого ответа вы имеете в виду «отозван», а не «истек». Сертификаты, как правило, аннулируются их эмитентом при аннулировании, срок их действия не истекает (дата истечения срока их действия остается неизменной, поскольку он не распространяется повторно на CRL / OCSP / и т. Д.).
Крис Даун
@ChrisDown Спасибо за улов. Мой поздний ночной мозг превратился из «отмененного» в «истекший». Отредактировано для использования "отозвано" вместо.
JakeGould
2
@JakeGould Вы были правы. Я получил новый сертификат, и в то же время у меня еще есть старый сертификат. Оказывается, у меня есть право решать, когда отозвать старую. Я могу держать оба активными столько, сколько захочу.
Картик
@Kartik Счастлив, это сработало для вас. Сертификаты не волшебство; это всего лишь вещи, которые определяют, кто ваш сервер для мира, и проверяют его с помощью «авторитета» третьей стороны. И поэтому вы всегда у власти. Любой, кто подразумевает обратное, просто пытается создать сомнение в целях продажи. Рад, что помог!
JakeGould