SSL sertifikası iptal edildiğinde ne olur?

14

Şu anda 300.com'da barındırılan example.com gibi bir alan adı için standart bir SSL sertifikası kullanıyoruz. Birisi talep ettiğinde https://example.com, sunucudan biri isteği sunar.

Şimdi, SSL sertifikamızı Standarttan birden çok alt alanı koruyan bir sertifikaya yükseltmek istiyoruz. Kayıt şirketimiz GoDaddy, mevcut sertifikayı iptal etmemiz gerekeceğini ve bunun yerine yeni bir sertifika verileceğini bildirdi.

Şimdi, yenisi bize gönderildikten sonra, 300 sunucudaki eskisinin yerini almamız yaklaşık 10 gün sürecek. Bu 10 gün içinde, kullanıcılarımız isterse https://example.comve hala eski sertifikasına sahip bir sunucu isteği sunarsa, kullanıcının tarayıcısında ne gösterilir?

Kullanıcı geçersiz bir sertifika hatası görecek mi?

NOT: Sadece tüm geri tepmeyi durdurmak için, 300'den fazla sunucuyu güncellemenin 10 gün sürmesinin nedeni, sunucularımın özel otobüslere, trenlere ve uçaklara konuşlandırılması ve çevrimdışı bir hotspot aracılığıyla istek sunmalarıdır. Günlerce internete bağlanmadan birkaç istekte bulunabilirler. Bu nedenle, son güncelleme oranımıza göre hepsini güncellemem yaklaşık 10 gün sürecek.

ssl  ssl-certificate 
Kartik
kaynak
12
Ortamınızı yeterince otomatikleştirmediniz. Bu sertifikaların tümünü birkaç dakika içinde tek bir komutla değiştirebilmeniz gerekir.
Michael Hampton
3
GoDaddy'ye bu senaryoda sertifikayı gerçekten "iptal edip etmeyeceklerini (Sertifika İptal Listelerine ekleyip ekleyemeyeceklerini) sordunuz mu? Daha önce başka bir sağlayıcı ile çalışıyordum (hatırlayamıyorum) ki, sadece bir iş açısından "iptal edildi" için certs'i iptal etmeyecektim, ancak sadece faul oyundan şüpheleniliyorsa, CRL.
Per von Zweigbergk
1
@PervonZweigbergk Doğru. Ancak, sadece bu SSL sertifikasının bir kayıt paketine bağlı bazı özgür olduğunu fark ettim. Teknik olarak, bir ana bilgisayar için düzinelerce SSL sertifikanız olabilir; son kullanma tarihi, yeni veya birden çok sertifika almayla ilgili herhangi bir şarta bağlı değildir.
JakeGould
2
Her sunucudaki sertifikayı el ile değiştirmek zorunda kalsanız bile, bu görevi on güne kadar uzatmayı nasıl haklı çıkarabileceğinizi anlamıyorum . Bu bir nedenden dolayı pratik bir gerçeklik mi (hangi sebeple?), Yoksa sadece yöneticinize söylediğiniz şey mi? Bir kişi iki işaret parmağınızdan başka bir şey yazmıyorsanız bir sabah bunu yapabilmelidir ... ve o zaman bile on gün şüpheli.
Monica ile Hafiflik Yarışları
4
Tüm geri tepmeyi durdurabilmek için, 300'den fazla sunucuyu güncellemenin 10 gün sürmesinin nedeni, sunucularımın özel otobüslere, trenlere ve uçaklara konuşlandırılması ve çevrimdışı bir etkin nokta üzerinden istek sunmalarıdır. Günlerce internete bağlanmadan birkaç istekte bulunabilirler. Bu nedenle, son güncelleme oranımıza göre hepsini güncellemem yaklaşık 10 gün sürecek.
Kartik

Yanıtlar:

13

Gerçekte 300 sunucunuz (!!!) var ve işlemin otomatik olmadığını söylüyorsunuz, bu yüzden tamamlanması 10 gün sürecek (!!!), GoDaddy'nin tanımladığı senaryo kapalı görünüyor. NOT: Şimdi ilgisiz yorum 10 gün sayısında 300 sunucu daha net bir bağlam yerleştirilir; hareketli / düzensiz bağlantılı sunucuların lojistiği mantıklıdır.

Evet, yeni bir sertifika oluşturmak istiyorsanız eski SSL sertifikasının iptal edilmesi gerekir (diğer adıyla iptal edilir). Ancak tecrübelerime göre yeni bir SSL sertifikası verildiğinden SSL sertifikalarının derhal iptal edilmesi gerekmez. Bu konuda GoDaddy ile tekrar kontrol etmek isteyebilirsiniz.

Ayrıca, SSL sertifikaları, kayıt şirketleri ve barındırma hizmetleri 3 farklı şeydir. Bazen bir kayıt şirketi, kendilerine kaydetmiş olabilecekleri bir alan için SSL sertifikası verebilecekleri konusunda sadece ısrar eder. Ancak, bir tane sunan herkesten hemen bir SSL sertifikası alabilir ve bunu mevcut sunucularınızla sorunsuz bir şekilde kullanabilirsiniz.

GoDaddy bu konuda gerçekten acı çekiyorsa, sadece başka bir kaynaktan SSL sertifikası almanızı öneririm.

Bu şekilde, eski SSL sertifikasını yerinde tutarken yeni SSL sertifikasına 300 sunucuda geçiş yapabilirsiniz. Ve sonra geçişi tamamladığınızda, eski sertifikayı resmi olarak iptal ettiniz, böylece bitirdiniz.

JakeGould
kaynak
8
Sertifika değiştirme işleminin otomatikleştirilmemesi ile ilgili olarak - birisi gerçekten sertifikalarınızdan birini çalacaksa ve iptal etmek zorunda kalacağınızı hayal edin. Sitenizi gerçekten 10 gün boyunca kapalı tutmayı göze alabilir misiniz?
Per von Zweigbergk
1
Bu cevabın çoğu için, "süresi dolmuş" değil, "iptal edilmiş" anlamına gelir. Sertifikalar genellikle iptal edildiklerinde yayıncıları tarafından iptal edilir, geçerlilik süreleri dolmaz (son kullanma tarihlerine dokunulmaz, çünkü CRL / OCSP / vb. İle yeniden çoğaltılmaz).
Chris Down
@ChrisDown Yakaladığınız için teşekkürler. Gece yarısı beynim "iptal edildi" yi "süresi dolmuş" olarak değiştirdi. Bunun yerine "iptal edildi" kullanılacak şekilde düzenlendi.
JakeGould
2
@JakeGould Haklıydın. Yeni bir sertifika aldım ve aynı zamanda eski sertifikam hala aktif. Eski olanı ne zaman iptal edeceğime karar verme gücüm var. İstediğim kadar ikisini de aktif tutabilirim.
Kartik
@Kartik Mutlu bu senin için çalıştı. Sertifikalar sihirli değildir; bunlar sadece sunucunuzun dünyaya kim olduğunu tanımlayan ve 3. taraf bir “otorite” aracılığıyla doğrulayan şeylerdir. Ve böylece, her zaman iktidardasınız. Aksini ima eden herkes sadece satış amacıyla şüphe yaratmaya çalışıyor. Yardımcı olduğumuz için mutluyum!
JakeGould
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.