Cosa succede quando un certificato SSL viene annullato?

Attualmente stiamo utilizzando un certificato SSL standard per un dominio, ad esempio example.com, ospitato su 300 server. Quando qualcuno richiede https://example.com, uno dei server serve la richiesta.

Ora, vogliamo aggiornare il nostro certificato SSL da Standard a uno che protegge più sottodomini. Il nostro registrar, GoDaddy, ci ha informato che avremo bisogno di cancellare il certificato corrente e invece ne verrà emesso uno nuovo.

Ora, una volta che ci è stato inviato il nuovo, ci vorranno circa 10 giorni per sostituire il più vecchio sui 300 server. In quei 10 giorni, se i nostri utenti lo richiedono https://example.come un server che ha ancora il vecchio certificato serve la richiesta, cosa verrà mostrato sul browser dell'utente?

L'utente visualizzerà un errore del certificato non valido?

NOTA: solo per mettere a tacere tutta la reazione, il motivo per cui sono necessari 10 giorni per aggiornare oltre 300 server è perché i miei server sono distribuiti in autobus, treni e aerei privati e servono la richiesta tramite un hotspot offline. Possono servire diverse richieste senza connettersi a Internet per giorni. E quindi, secondo la nostra ultima frequenza di aggiornamento, ci vorranno circa 10 giorni per aggiornarli tutti.

ssl ssl-certificate

— Kartik
fonte

Non hai sufficientemente automatizzato il tuo ambiente. Dovresti essere in grado di sostituire tutti quei certificati con un singolo comando in pochi minuti.

— Michael Hampton

Hai chiesto a GoDaddy se effettivamente "revoca" il certificato (aggiungendolo al loro Elenco di revoca delle certificazioni) in questo scenario? In precedenza ho lavorato con un altro fornitore (non ricordo quale) che non revocasse i certificati solo perché uno era "cancellato" dal punto di vista commerciale, ma farebbe revocazioni solo nel caso in cui si sospettasse un fallo, per ridurre le dimensioni di il CRL.

— Per von Zweigbergk,

@PervonZweigbergk Correct. Ma ho appena capito che forse questo certificato SSL era un omaggio offerto da un pacchetto di registrazione. Indipendentemente tecnicamente puoi avere dozzine di certificati SSL per un host; la scadenza non dipende da nulla riguardo all'ottenimento di nuovi o multipli certificati.

— Jake Gould

Non capisco come si possa giustificare l'estensione di questa attività a dieci giorni , anche se è necessario modificare il certificato manualmente su ciascun server. È una realtà pratica per qualche motivo (quale motivo?) O è proprio quello che dici al tuo manager? Una persona dovrebbe essere in grado di farlo al mattino a meno che tu non stia digitando con nient'altro che i tuoi due indici ... e, anche in questo caso, dieci giorni sono sospetti.

— Corse di leggerezza con Monica,

Solo per mettere fine a tutti i contraccolpi, il motivo per cui sono necessari 10 giorni per aggiornare oltre 300 server è perché i miei server sono distribuiti in autobus, treni e aerei privati e servono la richiesta tramite un hotspot offline. Possono servire diverse richieste senza connettersi a Internet per giorni. E quindi, secondo la nostra ultima frequenza di aggiornamento, ci vorranno circa 10 giorni per aggiornarli tutti.

— Kartik,

~~Mettendo da parte il fatto che hai 300 server (!!!) e sembra che il processo non sia automatizzato, quindi ci vorranno 10 giorni (!!!) per completare, lo scenario descritto da GoDaddy sembra spento.~~ NOTA: commento irrilevante ora che viene inserito un contesto più chiaro sui 300 server in 10 giorni; la logistica dei server mobili / connessi sporadicamente ha senso.

Sì, se si desidera creare un nuovo certificato, è necessario revocare il vecchio certificato SSL (ovvero: annullato). Ma nella mia esperienza non è necessario revocare immediatamente i certificati SSL perché è stato emesso un nuovo certificato SSL. Potresti voler ricontrollare con GoDaddy al riguardo.

Inoltre, certificati SSL, registrar e servizi di hosting sono 3 cose diverse. A volte un registrar insisterà sul fatto che sono gli unici che possono emettere un certificato SSL per un dominio che potrebbero essersi registrati con loro. Ma puoi praticamente ottenere un certificato SSL da chiunque ne offra uno e utilizzarlo senza problemi con i tuoi server attuali.

Se GoDaddy è davvero un problema, consiglierei di ottenere un certificato SSL da un'altra fonte.

In questo modo è possibile inserire gradualmente il nuovo certificato SSL tra i 300 server mantenendo al suo posto il vecchio certificato SSL. E poi quando hai finito con la transizione, revoca ufficialmente il vecchio certificato in modo da averlo finito.

— JakeGould
fonte

Per quanto riguarda il processo di sostituzione del certificato non automatizzato, immagina cosa succederebbe se qualcuno rubasse davvero uno dei tuoi certificati e dovresti revocarlo. Puoi davvero permetterti di avere il tuo sito inattivo per 10 giorni?

— Per von Zweigbergk,

Per la maggior parte di questa risposta, intendi "revocato", non "scaduto". I certificati in genere vengono revocati dall'emittente al momento della cancellazione, non scadono (la data di scadenza non viene toccata, poiché non viene riprogrammata in CRL / OCSP / ecc.).

— Chris Down,

@ChrisDown Grazie per la cattura. Il mio cervello a tarda notte convertito "cancellato" in "scaduto". Modificato per usare "revocato" invece.

— Jake Gould

@JakeGould Avevi ragione. Ho ricevuto un nuovo certificato e allo stesso tempo ho ancora quello vecchio attivo. Si scopre che ho il potere di decidere quando revocare quello vecchio. Posso mantenere entrambi attivi per tutto il tempo che voglio.

— Kartik,

@Kartik Felice che questo ha funzionato per te. I certificati non sono magici; sono solo cose che identificano chi è il tuo server nel mondo e lo convalidano tramite una "autorità" di terze parti. E come tale, sei sempre al potere. Chiunque implichi diversamente sta semplicemente cercando di creare dubbi a fini di vendita. Felice di aver aiutato!

— Jake Gould il