Czy ponowne wystawienie certyfikatu SSL unieważnia poprzednio wydany certyfikat?

15

Skorzystałem z funkcji „wystaw ponownie certyfikat” u dostawcy certyfikatu SSL (RapidSSL, FWIW), aby uzyskać nowy certyfikat - w tym celu utworzyłem i użyłem nowego klucza prywatnego i hasła.

Czy ponowne wydanie tego certyfikatu spowoduje utratę ważności wcześniej wydanego certyfikatu? Jeśli tak, ile to zajmie?

ssl certificate revoked Bednarz
źródło
1
Jeśli certyfikat zostanie wydany ponownie, zanim będę mógł zaktualizować moje serwery, czy użytkownicy będą mieli wpływ na unieważniony certyfikat?
Coderama,

Odpowiedzi:

9

Nie automatycznie, w przypadku RapidSSL. W przypadku innych dostawców i / lub klas certyfikatów może być to automatyczne.

RapidSS nie unieważnia automatycznie certyfikatu po jego ponownym wystawieniu, zgodnie z ich Kodeksem Postępowania . Byłoby to funkcją tego, ile zapłacisz za certyfikat.

W sekcji II.B.5 obecnie dostępnego CPS w Google :

GeoTrust nie unieważnia Certyfikatu wydanego wcześniej po otrzymaniu wniosku o zwrot lub ponowne wystawienie. Żądanie zwrotu lub ponownego wydania Certyfikatu nie będzie traktowane jako prośba Subskrybenta o unieważnienie Certyfikatu uprzednio wydanego przez GeoTrust, chyba że Subskrybent postępuje zgodnie z procedurami wnioskowania o unieważnienie, jak określono w Rozdziale III.I. tego CPS.

W sekcji III.I napisano:

Cofnięcie certyfikatu to proces, w którym GeoTrust przedwcześnie kończy Okres Operacyjny Certyfikatu, wysyłając numer seryjny Certyfikatu na Listę Odwołania Certyfikatu. Subskrybent informuje GeoTrust i niezwłocznie żąda unieważnienia Certyfikatu:

  • za każdym razem, gdy którakolwiek z informacji zawartych w Certyfikacie zmienia się lub staje się nieaktualna; lub
  • za każdym razem, gdy naruszony zostanie klucz prywatny lub nośnik przechowujący klucz prywatny powiązany z certyfikatem; lub
  • po zmianie własności serwera WWW Abonenta. Po przesłaniu żądania subskrybent podaje powód (y) żądania wycofania.

Gdzie indziej minimalnie obiecuje, że unieważnione certyfikaty zostaną dodane do listy CRL „co najmniej raz w tygodniu”.

Przeczytanie Kodeksu Postępowania dla każdego nabywcy usług certyfikatów SSL jest dobrą rzeczą dla kupującego.

David Bullock
źródło
3

Tak, cofną stary certyfikat.

Sposób odwoływania protokołu SSL polega na tym, że w certyfikacie sprzedawca umieszcza adres URL, pod którym klient (np. Przeglądarka) powinien sprawdzić, czy certyfikat jest nadal ważny (zwany listą CRL).

Więc nie ma na to twardej i szybkiej odpowiedzi, zależy to od klienta. W niektórych przypadkach, takich jak ten artykuł , sugeruje, że w ogóle nie zostanie sprawdzony.

Sójka
źródło
To nie jest automatyczne, że wystawca certyfikatu umieści stare certyfikaty na liście CRL.
David Bullock,