¿Volver a emitir un certificado SSL invalida el certificado emitido anteriormente?

15

Utilicé la funcionalidad de "reemitir certificado" en un proveedor de certificados SSL (RapidSSL, FWIW) para obtener un nuevo certificado; al hacerlo, creé y usé una nueva clave privada y frase de paso.

¿La reemisión de este certificado hará que el certificado emitido anteriormente deje de ser válido? Si es así, ¿cuánto tiempo lleva eso?

cobre
fuente
1
Si se vuelve a emitir un certificado, antes de que pueda actualizar mis servidores, ¿los usuarios se verán afectados por el certificado invalidado?
Coderama

Respuestas:

9

No automáticamente, para RapidSSL. Para otros proveedores y / o grados de certificado, puede ser automático.

RapidSS no invalida automáticamente un certificado cuando se vuelve a emitir, de acuerdo con su Declaración de práctica de certificado . Esto dependerá de cuánto pague por el certificado.

En la sección II.B.5 de la CPS actualmente compatible con Google :

GeoTrust no revocará un Certificado emitido previamente después de una solicitud de reembolso o reemisión. Una solicitud de reembolso o reemisión de un Certificado no será tratada como una solicitud por parte del Suscriptor para la revocación de un Certificado emitido previamente por GeoTrust a menos que el Suscriptor siga los procedimientos para solicitar la revocación como se establece en la Sección III.I. de esta CPS.

En la sección III.I dice:

La revocación de certificados es el proceso mediante el cual GeoTrust finaliza prematuramente el Período operativo de un Certificado al publicar el número de serie del Certificado en una Lista de revocación de certificados. Un Suscriptor deberá informar a GeoTrust y solicitar de inmediato la revocación de un Certificado:

  • cada vez que la información en el Certificado cambie o se vuelva obsoleta; o
  • cada vez que se compromete la clave privada, o los medios que contienen la clave privada, asociada con el certificado; o
  • ante un cambio en la propiedad del servidor web del Suscriptor. El suscriptor deberá indicar los motivos para solicitar la revocación al presentar la solicitud.

En otros lugares, promete mínimamente que los certificados revocados se agregarán a la CRL 'al menos una vez por semana'.

La lectura de la Declaración de práctica de certificación de cualquier comprador de servicios de certificados SSL es algo bueno para un comprador.

David Bullock
fuente
3

Sí, revocarán el antiguo certificado.

La forma en que funcionan las revocaciones SSL es que, dentro del certificado, el proveedor coloca una URL donde el cliente (por ejemplo, el navegador) debe verificar si el certificado sigue siendo válido (denominado CRL).

Por lo tanto, no hay una respuesta rápida y difícil a esto, depende del cliente. En algunos casos, como este artículo , sugiere que no se comprobará en absoluto.

Arrendajo
fuente
No es automático que el emisor del certificado coloque los certificados antiguos en una CRL.
David Bullock