Co się stanie, gdy certyfikat SSL zostanie anulowany?

14

Obecnie używamy standardowego certyfikatu SSL dla domeny, powiedzmy example.com hostowanej na 300 serwerach. Gdy ktoś zażąda https://example.com, jeden z serwerów obsługuje żądanie.

Teraz chcemy zaktualizować nasz certyfikat SSL ze Standardowego na taki, który chroni wiele subdomen. Nasz rejestrator GoDaddy poinformował nas, że będziemy musieli anulować obecny certyfikat, a zamiast tego zostanie wydany nowy.

Teraz, gdy zostanie nam wydany nowy, zastąpienie starszego na 300 serwerach potrwa około 10 dni. W ciągu tych 10 dni, jeśli nasi użytkownicy zażądają, https://example.coma serwer, który nadal ma stary certyfikat, obsługuje żądanie, to co zostanie wyświetlone w przeglądarce użytkownika?

Czy użytkownik zobaczy błąd nieprawidłowego certyfikatu?

UWAGA: Aby położyć kres luzom, aktualizacja 10 300 serwerów zajmuje 10 dni, ponieważ moje serwery są rozmieszczone w prywatnych autobusach, pociągach i samolotach i obsługują żądania za pośrednictwem hotspotu offline. Mogą obsługiwać kilka żądań bez łączenia się z Internetem przez kilka dni. A zatem, zgodnie z naszą ostatnią częstotliwością aktualizacji, zaktualizowanie wszystkich zajmie około 10 dni.

ssl ssl-certificate Kartik
źródło
12
Twoje środowisko nie zostało wystarczająco zautomatyzowane. Powinieneś być w stanie zastąpić wszystkie te certyfikaty jednym poleceniem w ciągu kilku minut.
Michael Hampton
3
Czy zapytałeś GoDaddy, czy faktycznie „odwołają” certyfikat (dodadzą go do swojej listy odwołania certyfikatów) w tym scenariuszu? Wcześniej współpracowałem z innym dostawcą (nie pamiętam, który), który nie cofnąłby certyfikatów tylko dlatego, że jeden został „anulowany” pod względem biznesowym, ale robiłby odwołania tylko w przypadku podejrzenia nieuczciwej gry, aby zmniejszyć rozmiar CRL.
Per von Zweigbergk
1
@PervonZweigbergk poprawnie. Ale właśnie zdałem sobie sprawę, że być może ten certyfikat SSL był darmowym połączeniem z pakietem rejestracyjnym. Niezależnie od tego technicznie możesz mieć dziesiątki certyfikatów SSL dla hosta; wygaśnięcie nie jest uzależnione od niczego dotyczącego uzyskania nowego lub wielu certyfikatów.
JakeGould,
2
Nie rozumiem, jak możesz uzasadnić rozciągnięcie tego zadania do dziesięciu dni , nawet jeśli musisz ręcznie zmienić certyfikat na każdym serwerze. Czy jest to praktyczna rzeczywistość z jakiegoś powodu (z jakiego powodu?), Czy jest to tylko to, co mówisz swojemu przełożonemu? Jedna osoba powinna być w stanie to zrobić rano, chyba że piszesz tylko dwoma palcami wskazującymi ... a nawet dziesięć dni jest podejrzanych.
Lekkość ściga się z Moniką
4
Aby uspokoić wszystkie reakcje, aktualizacja ponad 300 serwerów zajmuje 10 dni, ponieważ moje serwery są rozmieszczone w prywatnych autobusach, pociągach i samolotach i obsługują żądania za pośrednictwem hotspotu offline. Mogą obsługiwać kilka żądań bez łączenia się z Internetem przez kilka dni. A zatem, zgodnie z naszą ostatnią częstotliwością aktualizacji, zaktualizowanie wszystkich zajmie około 10 dni.
Kartik

Odpowiedzi:

13

Pomijając fakt, że masz 300 serwerów (!!!) i wydaje się, że proces nie jest zautomatyzowany, więc ukończenie go zajmie 10 dni (!!!), scenariusz opisany przez GoDaddy wydaje się być nieaktualny. UWAGA: Komentarz nieistotny teraz, gdy na 300 serwerach w 10 dni wydano wyraźniejszy kontekst; logistyka ruchomych / sporadycznie połączonych serwerów ma sens.

Tak, jeśli chcesz utworzyć nowy certyfikat, stary certyfikat SSL powinien zostać odwołany (inaczej: anulowany). Ale z mojego doświadczenia wynika, że ​​certyfikaty SSL nie muszą być natychmiast odwołane, ponieważ został wydany nowy certyfikat SSL. Być może zechcesz to dwukrotnie sprawdzić w GoDaddy.

Ponadto certyfikaty SSL, rejestratorzy i usługi hostingowe to 3 różne rzeczy. Czasami rejestrator upiera się, że tylko oni mogą wydać certyfikat SSL dla domeny, którą mogli zarejestrować. Ale można uzyskać certyfikat SSL od każdego, kto go oferuje, a następnie bez problemu używać go na bieżących serwerach.

Jeśli GoDaddy naprawdę ma z tym problem, polecam po prostu uzyskanie certyfikatu SSL z innego źródła.

W ten sposób możesz wprowadzić nowy certyfikat SSL na 300 serwerach, zachowując stary certyfikat SSL na miejscu. A kiedy skończysz z przejściem, oficjalnie odwołałeś stary certyfikat, więc skończyłeś go.

JakeGould
źródło
8
Jeśli chodzi o proces zastępowania certyfikatu, który nie jest zautomatyzowany - wyobraź sobie, co by się stało, gdyby ktoś ukradł jeden z twoich certyfikatów i musiałbyś go unieważnić. Czy naprawdę możesz sobie pozwolić na niedziałanie witryny przez 10 dni?
Per von Zweigbergk,
1
W przypadku większości tej odpowiedzi masz na myśli „odwołany”, a nie „wygasły”. Certyfikaty zazwyczaj są odwoływane przez ich wystawcę w momencie unieważnienia, nie wygasają (ich data ważności nie jest zmieniana, ponieważ nie jest ponownie propagowana do list CRL / OCSP / itp.).
Chris Down
@ChrisDown Dzięki za złapanie. Mój późny mózg przekształcił „anulowano” w „wygasł”. Zredagowano, by zamiast tego użyć „odwołany”.
JakeGould,
2
@JakeGould Miałeś rację. Otrzymałem nowy certyfikat i jednocześnie mam stary aktywny. Okazuje się, że mam moc decydowania, kiedy odwołać stary. Mogę utrzymać oba aktywne tak długo, jak chcę.
Kartik,
@Kartik Happy to się udało. Certyfikaty nie są magiczne; są to tylko rzeczy, które identyfikują, kto jest twoim serwerem na świecie i weryfikują go za pośrednictwem „organu” innej firmy. I jako taki masz władzę przez cały czas. Każdy, kto sugeruje inaczej, po prostu próbuje wzbudzić wątpliwości w celach sprzedażowych. Cieszę się, że mogłem pomóc!
JakeGould,