Wie wird ein bald ablaufendes SSL-Zertifikat aktualisiert?

Vor kurzem ist das Windows Azure Storage-SSL-Zertifikat abgelaufen , was viele Probleme verursacht. Jetzt kann das Zertifikat von jedem Benutzer abgerufen werden, sodass jeder hätte bemerken können, dass es abläuft.

Was ist nun der typische Zeitrahmen für das Ersetzen eines bald ablaufenden Zertifikats? Ist ein Monat vor Ablauf oder eine Woche vor Ablauf oder eine andere Zeit?

Mit anderen Worten, nehmen wir an, ich validiere ein Servicezertifikat eines Drittanbieters und stelle fest, dass es in N Tagen abläuft. Wenn ich es einen Tag im Voraus bemerke, kann es zu spät sein - ich brauche Zeit, um den Servicebesitzer zu kontaktieren, und er braucht Zeit, um das Zertifikat erneut auszustellen und zu ersetzen. Wenn ich es einen Monat im Voraus bemerke - es ist möglicherweise zu früh, um einen Alarm auszulösen -, wird der Servicebesitzer das Zertifikat möglicherweise etwas später ersetzen.

Was ist der Wert von N, sodass der Dienstbesitzer den Ablauf des SSL-Zertifikats wahrscheinlich vergessen hat, wenn es in N Tagen abläuft? Was ist die übliche Praxis, wenn ein bald ablaufendes SSL-Zertifikat aktualisiert werden muss?

Comodo beginnt nach 60 Tagen mit der Alarmierung unter http://www.instantssl.com/ssl-certificate-support/server_faq/ssl-certificate-renewals.html

GoDaddy empfiehlt 60, http://support.godaddy.com/help/article/864/renewing-your-ssl-certificate

Entrust empfiehlt 30, http://www.entrust.net/ssl-technical/renew_faq.cfm

Andere scheinen keine leicht zu findende Startempfehlung zu haben

Allgemein scheint es dokumentiert zu sein, dass vor der 15-Tage-Marke erneuert werden muss.

Ich fürchte, die gängigste Praxis ist "Scrambling, um es zu ersetzen, wenn es bereits abgelaufen ist" ...

Zusätzlich zu den sehr nützlichen Informationen, die von Kormoc aufgelistet werden, würde ich Ihnen dringend empfehlen, einen Anbieter zu verwenden, der Benachrichtigungen sendet - und sicherzustellen, dass diese Benachrichtigungen in ein Postfach gelangen, das tatsächlich von jemandem überwacht wird. Wenn Sie eine persönliche Adresse innerhalb des Unternehmens festlegen, riskieren Sie, dass diese Person im Urlaub oder krank ist oder das Unternehmen sogar verlassen hat. Stellen Sie stattdessen sicher, dass Sie eine Adresse haben, die entweder ein Gruppenpostfach oder eine Mailingliste ist, die auf mehrere Personen erweitert wird.

Wenn Sie über ein Überwachungssystem verfügen, können Sie auch festlegen, dass ein Cron-Job ausgeführt wird, z. B. einmal pro Woche, der die Anzahl der Tage bis zum Ablauf meldet, und Sie benachrichtigen, wenn die Anzahl der Tage unter einen bestimmten Wert fällt.

Ich bin ein großer Fan von Überwachungssystemen. Das Standard-Plugin von NAGIOS check_httpüberprüft den Ablauf des SSL-Zertifikats. Sie können festlegen, dass WARNING eine bestimmte Zeit zuvor und CRITICAL eine andere, kürzere Zeit zuvor angezeigt wird. Ich denke, der erste Teil meiner Antwort besteht darin, den Zertifikatsanbieter oder sonst jemanden nicht dafür verantwortlich zu machen, Sie zu benachrichtigen. Haben Sie Ihr eigenes automatisiertes System, das dies tut, und stellen Sie sicher, dass es dies tut, wenn Sie festlegen, dass dies getan werden soll.

Worauf sollten diese Zeiten eingestellt werden? Sie wissen, wie lange Sie brauchen, um eine Benachrichtigung in eine gültige, frisch geprägte CSR umzuwandeln, wie lange Ihre Zertifikatsanbieter brauchen, um CSRs umzukehren, und wie lange Sie brauchen, um Ausfallzeiten zu planen, um das neue Zertifikat auf jedem Server zu installieren. Addieren Sie diese drei Male, und das ist die minimale Zeit, um eine automatische Benachrichtigung zu generieren. ein guter NAGIOS CRITICAL Schwellenwert.

Fügen Sie dann einen bequemen Spielraum für Feiertage, Trägheit usw. hinzu, und das ist eine gute WARNING-Schwelle. In meinem Fall füge ich dafür zwei Wochen hinzu.

Wenn der Ausfall des Dienstes geschäftskritisch wäre, fügen Sie mindestens eine zusätzliche Woche hinzu, um dies zu vermeiden.

Und als letzter Tipp: Wenn Sie nur Standard-SSL-Zertifikate verwenden und derzeit viel dafür bezahlen, suchen Sie sich ein günstigeres Fulfillment-Haus und kaufen Sie stattdessen längerfristige Zertifikate. Der beste Weg, um eine Erneuerung des SSL-Zertifikats nicht zu verpassen, besteht darin, dass in Kürze kein SSL-Zertifikat mehr verfügbar ist.

Ein schönes Hilfsskript ist ssl-cert-check

Weitere Informationen finden Sie im Artikel "Proaktives Behandeln des Zertifikatsablaufs mit ssl-cert-check"

Für Ubuntu ist es Teil der Universums- Repositories.