¿Qué sucede cuando se cancela un certificado SSL?

14

Actualmente estamos utilizando un certificado SSL estándar para un dominio, por ejemplo example.com, alojado en 300 servidores. Cuando alguien solicita https://example.com, uno de los servidores atiende la solicitud.

Ahora, queremos actualizar nuestro certificado SSL de Estándar a uno que proteja múltiples subdominios. Nuestro registrador, GoDaddy, nos informó que tendremos que cancelar el certificado actual y, en su lugar, se emitirá uno nuevo.

Ahora, una vez que se nos envíe el nuevo, nos llevará aproximadamente 10 días reemplazar el anterior en los 300 servidores. En esos 10 días, si nuestros usuarios lo solicitan https://example.comy un servidor que todavía tiene el certificado anterior atiende la solicitud, ¿qué se mostrará en el navegador del usuario?

¿Verá el usuario un error de certificado no válido?

NOTA: Solo para poner toda la reacción en reposo, la razón por la que lleva 10 días actualizar más de 300 servidores es porque mis servidores se implementan en autobuses, trenes y aviones privados y atienden la solicitud a través de un punto de acceso fuera de línea. Pueden atender varias solicitudes sin conectarse a internet durante días. Y por lo tanto, según nuestra última tasa de actualización, me llevará aproximadamente 10 días actualizarlos todos.

ssl ssl-certificate Kartik
fuente
12
No ha automatizado suficientemente su entorno. Debería poder reemplazar todos esos certificados en un solo comando en unos minutos.
Michael Hampton
3
¿Le ha preguntado a GoDaddy si realmente "revocarán" el certificado (lo agregarán a su Lista de revocación de certificación) en este escenario? He estado trabajando con otro proveedor antes (no recuerdo cuál) que no revocaría los certificados simplemente porque uno fue "cancelado" en términos comerciales, sino que solo haría revocaciones en caso de sospecha de juego sucio, para reducir el tamaño de la CRL
Per von von Zweigbergk
1
@PervonZweigbergk Correcto. Pero me acabo de dar cuenta de que quizás este certificado SSL era un obsequio conectado a un paquete de registro. Independientemente de lo técnico, puede tener docenas de certificados SSL para un host; la caducidad no depende de nada relacionado con la obtención de certificados nuevos o múltiples.
JakeGould
2
No entiendo cómo puede justificar extender esta tarea a diez días , incluso si tiene que cambiar el certificado manualmente en cada servidor. ¿Es esa una realidad práctica por alguna razón (¿qué razón?), O es solo lo que le dice a su gerente? Una persona debería poder hacer esto en una mañana a menos que esté escribiendo con nada más que sus dos dedos índices ... e, incluso entonces, diez días son sospechosos.
Lightness compite con Monica el
44
Solo para poner toda la reacción en reposo, la razón por la que lleva 10 días actualizar más de 300 servidores es porque mis servidores se implementan en autobuses, trenes y aviones privados y atienden la solicitud a través de un punto de acceso fuera de línea. Pueden atender varias solicitudes sin conectarse a internet durante días. Y por lo tanto, según nuestra última tasa de actualización, me llevará aproximadamente 10 días actualizarlos todos.
Kartik

Respuestas:

13

Dejando a un lado el hecho de que tiene 300 servidores (!!!) y parece decir que el proceso no está automatizado, por lo que tardará 10 días (!!!) en completarse, el escenario que GoDaddy ha descrito parece estar apagado. NOTA: Comentario irrelevante ahora que se coloca un contexto más claro en los 300 servidores en 10 días; la logística de mover / servidores conectados esporádicamente tiene sentido.

Sí, si desea crear un nuevo certificado, debe revocar el antiguo certificado SSL (también conocido como: cancelado). Pero en mi experiencia, los certificados SSL no tienen que ser revocados inmediatamente porque se ha emitido un nuevo certificado SSL. Es posible que desee verificar con GoDaddy sobre esto.

Además, los certificados SSL, los registradores y los servicios de alojamiento son 3 cosas diferentes. A veces, un registrador insistirá en que son los únicos que pueden emitir un certificado SSL para un dominio que podrían haber registrado con ellos. Pero puede obtener un certificado SSL de cualquier persona que ofrezca uno y luego usarlo con sus servidores actuales sin problemas.

Si GoDaddy realmente está molestando esto, recomendaría simplemente obtener un certificado SSL de otra fuente.

De esa manera, puede incorporar el nuevo certificado SSL en los 300 servidores mientras mantiene el antiguo certificado SSL en su lugar. Y luego, cuando haya terminado con la transición, revocó oficialmente el certificado anterior para que haya terminado.

JakeGould
fuente
8
Con respecto al proceso de reemplazo de certificados que no está automatizado, imagine lo que sucedería si alguien realmente robara uno de sus certificados, y usted tendría que ir a revocarlo. ¿Puede realmente permitirse tener su sitio fuera de servicio durante 10 días?
Per von Zweigbergk
1
Para la mayor parte de esta respuesta, quiere decir "revocado", no "caducado". Los certificados generalmente son revocados por su emisor en la cancelación, no caducan (su fecha de vencimiento no se modifica, ya que no se repropaga a CRL / OCSP / etc.).
Chris Down
@ ChrisDown Gracias por la captura. Mi cerebro nocturno se convirtió "cancelado" en "expirado". Editado para usar "revocado" en su lugar.
JakeGould
2
@JakeGould Tenías razón. Me emitieron un nuevo certificado y, al mismo tiempo, todavía tengo el anterior activo. Resulta que tengo el poder de decidir cuándo revocar el anterior. Puedo mantener ambos activos el tiempo que quiera.
Kartik
@Kartik Feliz, esto funcionó para ti. Los certificados no son mágicos; son solo cosas que identifican quién es su servidor para el mundo y lo validan a través de una "autoridad" de terceros. Y como tal, usted está en el poder en todo momento. Cualquiera que implique lo contrario simplemente está tratando de crear dudas para fines de ventas. ¡Feliz de haber ayudado!
JakeGould