Was passiert, wenn ein SSL-Zertifikat storniert wird?

14

Derzeit verwenden wir ein Standard-SSL-Zertifikat für eine Domain, beispielsweise example.com, die auf 300 Servern gehostet wird. Wenn jemand eine Anfrage stellt https://example.com, bedient einer der Server die Anfrage.

Jetzt möchten wir unser SSL-Zertifikat von Standard auf ein Zertifikat aktualisieren, das mehrere Unterdomänen schützt. Unser Registrar, GoDaddy, teilte uns mit, dass wir das aktuelle Zertifikat stornieren müssen, und stattdessen wird ein neues ausgestellt.

Sobald wir die neue Version erhalten haben, dauert es ungefähr 10 Tage, bis wir die ältere Version auf den 300 Servern ersetzt haben. https://example.comWas wird in diesen 10 Tagen im Browser des Benutzers angezeigt , wenn unsere Benutzer eine Anfrage stellen und ein Server, auf dem noch das alte Zertifikat vorhanden ist, die Anfrage bearbeitet?

Wird dem Benutzer ein ungültiger Zertifikatfehler angezeigt?

ANMERKUNG: Nur um das gesamte Spiel in den Hintergrund zu rücken, dauert die Aktualisierung von über 300 Servern 10 Tage, da meine Server in privaten Bussen, Zügen und Flugzeugen eingesetzt werden und Anforderungen über einen Offline-Hotspot bedient werden. Sie können mehrere Anfragen bearbeiten, ohne tagelang eine Verbindung zum Internet herzustellen. Aus diesem Grund wird es nach unserer letzten Aktualisierungsrate ca. 10 Tage dauern, bis ich alle aktualisiert habe.

ssl ssl-certificate Kartik
quelle
12
Sie haben Ihre Umgebung nicht ausreichend automatisiert. Sie sollten in der Lage sein, alle diese Zertifikate mit einem einzigen Befehl in wenigen Minuten zu ersetzen.
Michael Hampton
3
Haben Sie GoDaddy gefragt, ob das Zertifikat in diesem Szenario tatsächlich "widerrufen" wird (zur Zertifizierungswiderrufsliste hinzufügen)? Ich habe zuvor mit einem anderen Anbieter zusammengearbeitet (kann mich nicht erinnern, welcher), der Zertifikate nicht nur widerrufen würde, weil einer geschäftlich "storniert" wurde, sondern nur dann Widerrufe ausführt, wenn der Verdacht auf widerrechtliches Spiel bestand, um die Größe des Zertifikats zu verringern die CRL.
Per von Zweigbergk
1
@PervonZweigbergk Richtig. Aber mir ist gerade aufgefallen, dass dieses SSL-Zertifikat möglicherweise ein Werbegeschenk ist, das mit einem Registrierungspaket verbunden ist. Technisch gesehen können Sie für einen Host Dutzende von SSL-Zertifikaten haben. Die Gültigkeitsdauer ist nicht abhängig von der Erlangung eines neuen oder mehrerer Zertifikate.
JakeGould
2
Ich verstehe nicht, wie Sie es rechtfertigen können, diese Aufgabe auf zehn Tage zu verlängern , selbst wenn Sie das Zertifikat auf jedem Server manuell ändern müssen. Ist das aus irgendeinem Grund eine praktische Realität (aus welchem ​​Grund?) Oder ist es nur das, was Sie Ihrem Manager sagen? Eine Person sollte dies an einem Morgen tun können, es sei denn, Sie tippen nur mit Ihren beiden Zeigefingern ... und selbst dann sind zehn Tage verdächtig.
Leichtigkeitsrennen im Orbit
4
Der Grund, warum die Aktualisierung von über 300 Servern 10 Tage dauert, ist, dass meine Server in privaten Bussen, Zügen und Flugzeugen eingesetzt werden und Anfragen über einen Offline-Hotspot bedienen. Sie können mehrere Anfragen bearbeiten, ohne tagelang eine Verbindung zum Internet herzustellen. Aus diesem Grund wird es nach unserer letzten Aktualisierungsrate ca. 10 Tage dauern, bis ich alle aktualisiert habe.
Kartik

Antworten:

13

Abgesehen von der Tatsache, dass Sie über 300 Server (!!!) verfügen und der Prozess anscheinend nicht automatisiert ist, wird das von GoDaddy beschriebene Szenario 10 Tage (!!!) dauern. ANMERKUNG: Kommentar ist jetzt irrelevant, da in der 10-Tage-Ausgabe ein klarerer Kontext auf den 300 Servern platziert wird. Sinnvoll ist die Logistik von bewegten / sporadisch verbundenen Servern.

Ja, wenn Sie ein neues Zertifikat erstellen möchten, sollte das alte SSL-Zertifikat gesperrt werden. Nach meiner Erfahrung müssen SSL-Zertifikate jedoch nicht sofort widerrufen werden, da ein neues SSL-Zertifikat ausgestellt wurde. Vielleicht möchten Sie dies mit GoDaddy überprüfen.

Auch SSL-Zertifikate, Registrare und Hosting-Dienste sind 3 verschiedene Dinge. Manchmal besteht ein Registrar darauf, dass er der Einzige ist, der ein SSL-Zertifikat für eine Domain ausstellen kann, bei der er sich möglicherweise registriert hat. Sie können jedoch so ziemlich jedes SSL-Zertifikat von jedem erhalten, der eines anbietet, und dieses dann problemlos mit Ihren aktuellen Servern verwenden.

Wenn GoDaddy wirklich nervt, würde ich nur empfehlen, ein SSL-Zertifikat von einer anderen Quelle zu beziehen.

Auf diese Weise können Sie das neue SSL-Zertifikat auf allen 300 Servern einführen und gleichzeitig das alte SSL-Zertifikat beibehalten. Wenn Sie mit der Umstellung fertig sind, können Sie das alte Zertifikat offiziell widerrufen, damit Sie damit fertig sind.

JakeGould
quelle
8
Stellen Sie sich vor, was passieren würde, wenn jemand eines Ihrer Zertifikate stehlen würde und Sie es widerrufen müssten. Können Sie es sich wirklich leisten, Ihre Website 10 Tage lang nicht verfügbar zu haben?
Per von Zweigbergk
1
Für die meisten dieser Antworten ist "widerrufen" und nicht "abgelaufen" gemeint. Zertifikate werden in der Regel von ihrem Aussteller bei Stornierung widerrufen , sie verfallen nicht (ihr Verfallsdatum bleibt unberührt, da es nicht erneut in CRLs / OCSP / etc übertragen wird).
Chris Down
@ ChrisDown Danke für den Fang. Mein spätes Gehirn konvertierte "abgesagt" zu "abgelaufen". Bearbeitet, um stattdessen "widerrufen" zu verwenden.
JakeGould
2
@JakeGould Du hattest recht. Ich habe ein neues Zertifikat ausgestellt bekommen und gleichzeitig habe ich das alte noch aktiv. Es stellt sich heraus, dass ich die Macht habe, zu entscheiden, wann ich die alte widerrufen soll. Ich kann beide aktiv halten, solange ich will.
Kartik
@Kartik Happy das hat für dich geklappt. Zertifikate sind keine Zauberei; Es handelt sich lediglich um Dinge, die identifizieren, wer Ihr Server für die Welt ist, und die ihn über eine "Autorität" eines Drittanbieters validieren. Als solche sind Sie jederzeit an der Macht. Jeder, der etwas anderes impliziert, versucht lediglich, Zweifel für Verkaufszwecke zu schaffen. Freut mich geholfen zu haben!
JakeGould