Điều gì xảy ra khi chứng chỉ SSL bị hủy?

14

Chúng tôi hiện đang sử dụng chứng chỉ SSL tiêu chuẩn cho một tên miền nói example.com được lưu trữ trên 300 máy chủ. Khi ai đó yêu cầu https://example.com, một trong các máy chủ phục vụ yêu cầu.

Bây giờ, chúng tôi muốn nâng cấp chứng chỉ SSL của chúng tôi từ Tiêu chuẩn lên một bảo vệ nhiều tên miền phụ. Nhà đăng ký của chúng tôi, GoDaddy, đã thông báo cho chúng tôi rằng chúng tôi sẽ cần hủy chứng chỉ hiện tại và thay vào đó, một chứng chỉ mới sẽ được cấp.

Bây giờ, một khi cái mới được cấp cho chúng tôi, sẽ mất khoảng 10 ngày để chúng tôi thay thế cái cũ trên 300 máy chủ. Trong 10 ngày đó, nếu người dùng của chúng tôi yêu cầu https://example.comvà một máy chủ vẫn còn chứng chỉ cũ phục vụ yêu cầu, thì những gì sẽ được hiển thị trên trình duyệt của người dùng?

Người dùng sẽ thấy một lỗi chứng chỉ không hợp lệ?

LƯU Ý: Chỉ cần đặt tất cả các phản ứng dữ dội ở trạng thái nghỉ, lý do phải mất 10 ngày để cập nhật hơn 300 máy chủ là do máy chủ của tôi được triển khai trên xe buýt, tàu hỏa và máy bay riêng và chúng phục vụ yêu cầu qua điểm truy cập ngoại tuyến. Họ có thể phục vụ một số yêu cầu mà không cần kết nối với internet trong nhiều ngày. Và do đó, theo tỷ lệ cập nhật cuối cùng của chúng tôi, sẽ mất khoảng 10 ngày để tôi cập nhật tất cả chúng.

ssl  ssl-certificate 
Xe tăng
nguồn
12
Bạn chưa đủ tự động môi trường của bạn. Bạn sẽ có thể thay thế tất cả các chứng chỉ đó trên một lệnh trong vài phút.
Michael Hampton
3
Bạn đã hỏi GoDaddy rằng họ có thực sự "thu hồi" chứng chỉ (thêm nó vào Danh sách hủy bỏ chứng nhận) trong kịch bản này không? Tôi đã làm việc với một nhà cung cấp khác trước đây (không thể nhớ lại), điều này sẽ không thu hồi certs chỉ vì một người đã bị "hủy bỏ" kinh doanh, nhưng sẽ chỉ hủy bỏ trong trường hợp nghi ngờ chơi xấu, để giảm quy mô CRL.
Per von Zweigbergk
1
@PervonZweigbergk Đúng. Nhưng tôi chỉ nhận ra rằng có lẽ chứng chỉ SSL này là một số phần mềm miễn phí được kết nối với gói đăng ký. Bất kể về mặt kỹ thuật, bạn có thể có hàng tá chứng chỉ SSL cho máy chủ lưu trữ; hết hạn không phụ thuộc vào bất cứ điều gì liên quan đến việc nhận một chứng chỉ mới hoặc nhiều chứng chỉ.
JakeGould
2
Tôi không hiểu làm thế nào bạn có thể biện minh cho việc kéo dài nhiệm vụ này đến mười ngày , ngay cả khi bạn phải thay đổi chứng chỉ bằng tay trên mỗi máy chủ. Đó có phải là một thực tế thực tế cho một số lý do (lý do gì?), Hoặc đó chỉ là những gì bạn nói với người quản lý của bạn? Một người sẽ có thể làm điều này vào một buổi sáng trừ khi bạn không gõ gì ngoài hai ngón tay trỏ của bạn ... và thậm chí sau đó, mười ngày là điều đáng ngờ.
Cuộc đua nhẹ nhàng với Monica
4
Chỉ cần để tất cả các phản ứng dữ dội ở trạng thái nghỉ, lý do phải mất 10 ngày để cập nhật hơn 300 máy chủ là vì máy chủ của tôi được triển khai trên xe buýt, tàu hỏa và máy bay riêng và chúng phục vụ yêu cầu thông qua một điểm nóng ngoại tuyến. Họ có thể phục vụ một số yêu cầu mà không cần kết nối với internet trong nhiều ngày. Và do đó, theo tỷ lệ cập nhật cuối cùng của chúng tôi, sẽ mất khoảng 10 ngày để tôi cập nhật tất cả chúng.
Kartik

Câu trả lời:

13

Bỏ qua thực tế là bạn có 300 máy chủ (!!!) và dường như quá trình này không được tự động hóa nên sẽ mất 10 ngày (!!!) để hoàn thành, kịch bản mà GoDaddy đã mô tả dường như tắt. LƯU Ý: Nhận xét không liên quan bây giờ rằng bối cảnh rõ ràng hơn được đặt trên 300 máy chủ trong 10 ngày; hậu cần của các máy chủ di chuyển / kết nối lẻ tẻ có ý nghĩa.

Có, nếu bạn muốn tạo chứng chỉ mới, chứng chỉ SSL cũ sẽ bị thu hồi (còn gọi là: đã hủy). Nhưng theo kinh nghiệm của tôi, chứng chỉ SSL không phải bị thu hồi ngay lập tức vì chứng chỉ SSL mới đã được cấp. Bạn có thể muốn kiểm tra lại với GoDaddy về điều này.

Ngoài ra, chứng chỉ SSL, đăng ký và dịch vụ lưu trữ là 3 thứ khác nhau. Đôi khi, một công ty đăng ký sẽ khẳng định họ là những người duy nhất có thể cấp chứng chỉ SSL cho tên miền mà họ có thể đã đăng ký với họ. Nhưng bạn có thể nhận được chứng chỉ SSL từ bất kỳ ai cung cấp một chứng chỉ và sau đó sử dụng nó với các máy chủ hiện tại của bạn mà không gặp vấn đề gì.

Nếu GoDaddy thực sự là một nỗi đau về điều này, tôi khuyên bạn chỉ nên lấy chứng chỉ SSL từ một nguồn khác.

Bằng cách đó, bạn có thể tạo chứng chỉ SSL mới trên 300 máy chủ trong khi vẫn giữ chứng chỉ SSL cũ. Và sau đó khi bạn hoàn thành quá trình chuyển đổi, chính thức thu hồi chứng chỉ cũ để bạn hoàn thành nó.

Jake
nguồn
8
Về quy trình thay thế chứng chỉ không được tự động hóa - hãy tưởng tượng điều gì sẽ xảy ra nếu ai đó thực sự đánh cắp một trong các chứng chỉ của bạn và bạn sẽ phải thu hồi nó. Bạn có thể thực sự đủ khả năng để trang web của bạn xuống trong 10 ngày?
Per von Zweigbergk
1
Đối với hầu hết câu trả lời này, bạn có nghĩa là "bị thu hồi", không phải "hết hạn". Chứng chỉ thường bị thu hồi bởi nhà phát hành của họ khi hủy, họ không hết hạn (ngày hết hạn của họ không bị ảnh hưởng, vì nó không được sửa lại thành CRL / OCSP / vv).
Chris Down
@ChrisDown Cảm ơn bạn đã bắt. Bộ não đêm khuya của tôi đã chuyển đổi "hủy bỏ" thành "hết hạn". Chỉnh sửa để sử dụng "thu hồi" thay vào đó.
JakeGould
2
@JakeGould Bạn đã đúng. Tôi đã nhận được một chứng chỉ mới được cấp và đồng thời, tôi có một chứng chỉ cũ vẫn còn hoạt động. Hóa ra tôi có quyền quyết định khi nào nên thu hồi cái cũ. Tôi có thể giữ cả hai hoạt động miễn là tôi muốn.
Kartik
@Kartik Chúc mừng điều này đã làm việc cho bạn. Giấy chứng nhận không phải là phép thuật; chúng chỉ là những thứ xác định ai là máy chủ của bạn với thế giới và xác nhận nó thông qua cơ quan quyền lực của bên thứ 3.. Và như vậy, bạn luôn nắm quyền. Bất cứ ai ngụ ý khác chỉ đơn giản là cố gắng tạo ra sự nghi ngờ cho mục đích bán hàng. Rất vui vì đã giúp đỡ!
JakeGould
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.