O que acontece quando um certificado SSL é cancelado?

14

No momento, estamos usando um certificado SSL padrão para um domínio, por exemplo, example.com hospedado em 300 servidores. Quando alguém solicita https://example.com, um dos servidores atende à solicitação.

Agora, queremos atualizar nosso certificado SSL do Standard para um que proteja vários subdomínios. Nosso registrador, GoDaddy, nos informou que precisaremos cancelar o certificado atual e, em vez disso, um novo será emitido.

Agora, depois que o novo for emitido para nós, levará aproximadamente 10 dias para substituir o antigo nos 300 servidores. Nesses 10 dias, se nossos usuários solicitarem https://example.come um servidor que ainda possua o certificado antigo atender à solicitação, o que será mostrado no navegador do usuário?

O usuário verá um erro de certificado inválido?

NOTA: Apenas para interromper toda a folga, o motivo de 10 dias para atualizar mais de 300 servidores é porque meus servidores estão implantados em ônibus, trens e aeronaves particulares e atendem a solicitações por meio de um hotspot offline. Eles podem atender a vários pedidos sem se conectar à Internet por dias. Portanto, de acordo com nossa taxa de atualização mais recente, levará aproximadamente 10 dias para atualizar todos eles.

ssl  ssl-certificate 
Kartik
fonte
12
Você não automatizou suficientemente o seu ambiente. Você poderá substituir todos esses certificados em um único comando em alguns minutos.
Michael Hampton
3
Você perguntou ao GoDaddy se eles realmente "revogariam" o certificado (adicione-o à Lista de Revogação de Certificação) nesse cenário? Eu já trabalhei com outro provedor (não me lembro qual) que não revogaria certs apenas porque um foi "cancelado" em termos de negócios, mas só faria revogações em caso de suspeita de jogo sujo, para reduzir o tamanho de a CRL.
Por von Zweigbergk
1
@PervonZweigbergk Correct. Mas acabei de perceber que talvez esse certificado SSL fosse algum brinde conectado a um pacote de registro. Independentemente tecnicamente, você pode ter dezenas de certificados SSL para um host; a expiração não depende de nada referente à obtenção de um certificado novo ou múltiplo.
JakeGould #
2
Não entendo como você pode justificar estender essa tarefa por dez dias , mesmo que precise alterar o certificado manualmente em cada servidor. Isso é uma realidade prática por algum motivo (qual motivo?), Ou é exatamente o que você diz ao seu gerente? Uma pessoa deve ser capaz de fazer isso em uma manhã, a menos que você esteja digitando apenas com os dois dedos indicadores ... e, mesmo assim, dez dias é suspeito.
Lightness Races com Monica
4
Só para colocar toda a folga em repouso, o motivo de 10 dias para atualizar mais de 300 servidores é porque meus servidores são implantados em ônibus, trens e aeronaves particulares e atendem a solicitações por meio de um hotspot offline. Eles podem atender a vários pedidos sem se conectar à Internet por dias. Portanto, de acordo com nossa taxa de atualização mais recente, levará aproximadamente 10 dias para atualizar todos eles.
Kartik

Respostas:

13

Deixando de lado o fato de você ter 300 servidores (!!!) e você parece dizer que o processo não é automatizado, por isso levará 10 dias (!!!) para ser concluído, o cenário descrito pelo GoDaddy parece desativado. NOTA: Comente irrelevante agora que um contexto mais claro é colocado nos 300 servidores em questão de 10 dias; a logística dos servidores em movimento / conectados esporadicamente faz sentido.

Sim, se você deseja criar um novo certificado, o antigo certificado SSL deve ser revogado (também conhecido como: cancelado). Mas, na minha experiência, os certificados SSL não precisam ser revogados imediatamente porque um novo certificado SSL foi emitido. Você pode verificar com o GoDaddy sobre isso.

Além disso, certificados SSL, registradores e serviços de hospedagem são três coisas diferentes. Às vezes, um registrador insiste que eles são os únicos que podem emitir um certificado SSL para um domínio que possam ter registrado com eles. Mas você pode obter um certificado SSL de qualquer pessoa que ofereça um e usá-lo com seus servidores atuais sem problemas.

Se o GoDaddy estiver realmente preocupado com isso, eu recomendaria apenas obter um certificado SSL de outra fonte.

Dessa forma, você pode introduzir o novo certificado SSL nos 300 servidores, mantendo o certificado SSL antigo em vigor. E então, quando você concluir a transição, revogou oficialmente o certificado antigo para concluir o processo.

JakeGould
fonte
8
Quanto ao processo de substituição de certificado não ser automatizado - imagine o que aconteceria se alguém roubasse um de seus certificados e você precisaria revogá-lo. Você pode realmente ter seu site inoperante por 10 dias?
Por von Zweigbergk
1
Para a maior parte desta resposta, você quer dizer "revogado", não "expirado". Normalmente, os certificados são revogados pelo emissor no cancelamento e não expiram (a data de vencimento permanece intocada, pois não é repropagada para CRLs / OCSP / etc).
31415 Chris
@ Chrishrown Obrigado pela captura. Meu cérebro tarde da noite converteu "cancelado" para "expirado". Editado para usar "revogado".
JakeGould #
2
@JakeGould Você estava certo. Tenho um novo certificado emitido e, ao mesmo tempo, tenho o antigo ainda ativo. Acontece que eu tenho o poder de decidir quando revogar o antigo. Eu posso manter os dois ativos enquanto eu quiser.
Kartik
@Kartik Feliz, isso funcionou para você. Certificados não são mágicos; são apenas coisas que identificam quem é seu servidor no mundo e o validam por meio de uma "autoridade" de terceiros. E, como tal, você está no poder o tempo todo. Qualquer pessoa que implique o contrário está simplesmente tentando criar dúvidas para fins de vendas. Feliz por ter ajudado!
JakeGould #
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.