จะเกิดอะไรขึ้นเมื่อใบรับรอง SSL ถูกยกเลิก

ขณะนี้เรากำลังใช้ใบรับรอง SSL มาตรฐานสำหรับโดเมนที่ชื่อว่า example.com ซึ่งโฮสต์บนเซิร์ฟเวอร์ 300 เครื่อง เมื่อมีคนร้องขอhttps://example.comเซิร์ฟเวอร์ตัวใดตัวหนึ่งทำหน้าที่ร้องขอ

ตอนนี้เราต้องการอัพเกรดใบรับรอง SSL ของเราจากมาตรฐานเป็นโดเมนที่ปกป้องหลายโดเมนย่อย GoDaddy ผู้จดทะเบียนของเราแจ้งให้เราทราบว่าเราจะต้องยกเลิกใบรับรองปัจจุบันและจะออกใบรับรองใหม่แทน

ตอนนี้เมื่อมีการออกใหม่ให้เราจะใช้เวลาประมาณ 10 วันสำหรับเราเพื่อแทนที่เก่ากว่าในเซิร์ฟเวอร์ 300 ในช่วง 10 วันนั้นหากผู้ใช้ของเราร้องขอhttps://example.comและเซิร์ฟเวอร์ที่ยังมีใบรับรองเก่ารองรับการร้องขอสิ่งที่จะปรากฏในเบราว์เซอร์ของผู้ใช้?

ผู้ใช้จะเห็นข้อผิดพลาดใบรับรองไม่ถูกต้องหรือไม่

หมายเหตุ:เพียงแค่ใส่แบ็คแลชทั้งหมดที่เหลือเหตุผลที่ใช้เวลา 10 วันในการอัปเดตเซิร์ฟเวอร์มากกว่า 300 รายการนั้นเป็นเพราะเซิร์ฟเวอร์ของฉันถูกติดตั้งในรถเมล์ส่วนตัวรถไฟและเครื่องบิน อาจให้บริการหลายคำขอโดยไม่ต้องเชื่อมต่ออินเทอร์เน็ตเป็นเวลาหลายวัน และด้วยเหตุนี้ตามอัตราการอัปเดตล่าสุดของเราจะใช้เวลาประมาณ 10 วันสำหรับฉันในการอัปเดตทั้งหมด

ssl ssl-certificate

— Kartik
แหล่งที่มา

คุณมีสภาพแวดล้อมของคุณโดยอัตโนมัติไม่เพียงพอ คุณควรจะสามารถแทนที่ใบรับรองเหล่านั้นทั้งหมดในคำสั่งเดียวในไม่กี่นาที

— Michael Hampton

คุณเคยถาม GoDaddy ว่าจริง ๆ แล้วพวกเขาจะ "เพิกถอน" ใบรับรอง (เพิ่มลงในรายการเพิกถอนใบรับรอง) ในสถานการณ์นี้หรือไม่? ฉันเคยทำงานกับผู้ให้บริการรายอื่นมาก่อน (จำไม่ได้ว่าใคร) ซึ่งจะไม่เพิกถอน certs เพียงเพราะมีคน“ ทำธุรกิจ” อย่างชาญฉลาด แต่จะทำการเพิกถอนเฉพาะในกรณีที่สงสัยว่ามีการเล่นที่ผิดกติกาเพื่อลดขนาดของ CRL

— ต่อ von Zweigbergk

@PervonZweigbergk ถูกต้อง แต่ฉันเพิ่งรู้ว่าบางทีใบรับรอง SSL นี้เป็น freebie บางตัวที่เชื่อมต่อกับแพ็คเกจลงทะเบียน ในทางเทคนิคแล้วคุณสามารถมีใบรับรอง SSL หลายสิบใบสำหรับโฮสต์ การหมดอายุไม่ได้เกิดขึ้นกับสิ่งใด ๆ ที่เกี่ยวข้องกับการได้รับใบรับรองใหม่หรือใบรับรองหลายใบ

— JakeGould

ฉันไม่เข้าใจว่าคุณสามารถปรับภารกิจนี้ได้นานถึงสิบวันแม้ว่าคุณจะต้องเปลี่ยนใบรับรองด้วยตนเองในแต่ละเซิร์ฟเวอร์ นั่นคือความเป็นจริงที่เกิดขึ้นจริงด้วยเหตุผลบางอย่าง (เหตุผลอะไร) หรือเป็นเพียงสิ่งที่คุณบอกผู้จัดการของคุณ? คน ๆ หนึ่งสามารถทำได้ในตอนเช้าเว้นแต่ว่าคุณจะพิมพ์โดยไม่มีอะไรนอกจากนิ้วชี้สองนิ้วของคุณ ... และแม้กระทั่งสิบวันก็เป็นที่น่าสงสัย

— การแข่งขัน Lightness กับโมนิก้า

เพียงแค่ใส่แบ็คแลชทั้งหมดที่เหลือเหตุผลที่ใช้เวลา 10 วันในการอัปเดตเซิร์ฟเวอร์มากกว่า 300 รายการเป็นเพราะเซิร์ฟเวอร์ของฉันถูกติดตั้งในรถโดยสารส่วนตัวรถไฟและเครื่องบิน อาจให้บริการหลายคำขอโดยไม่ต้องเชื่อมต่ออินเทอร์เน็ตเป็นเวลาหลายวัน และด้วยเหตุนี้ตามอัตราการอัปเดตล่าสุดของเราจะใช้เวลาประมาณ 10 วันสำหรับฉันในการอัปเดตทั้งหมด

— Kartik

นอกเหนือจากข้อเท็จจริงที่ว่าคุณมีเซิร์ฟเวอร์ 300 ตัว (!!!) และคุณดูเหมือนจะบอกว่ากระบวนการนั้นไม่อัตโนมัติดังนั้นจึงใช้เวลา 10 วัน (!!!) ให้เสร็จสมบูรณ์สถานการณ์ที่ GoDaddy ได้อธิบายไว้ดูเหมือนจะปิดไป หมายเหตุ:ความคิดเห็นไม่เกี่ยวข้องตอนนี้บริบทที่ชัดเจนถูกวางไว้ในเซิร์ฟเวอร์ 300 ในปัญหา 10 วัน; โลจิสติกส์ของเซิร์ฟเวอร์ที่มีการย้าย / เชื่อมต่อเป็นระยะทำให้เกิดความรู้สึก

ใช่หากคุณต้องการสร้างใบรับรองใหม่ใบรับรอง SSL เก่าควรถูกเพิกถอน (aka: ยกเลิก) แต่ในประสบการณ์ของฉันใบรับรอง SSL ไม่จำเป็นต้องถูกเพิกถอนทันทีเนื่องจากมีการออกใบรับรอง SSL ใหม่ คุณอาจต้องการตรวจสอบกับ GoDaddy อีกครั้ง

นอกจากนี้ใบรับรอง SSL, ผู้รับจดทะเบียนและบริการโฮสต์มี 3 สิ่งที่แตกต่างกัน บางครั้งผู้ให้บริการลงทะเบียนจะยืนยันว่าพวกเขาเป็นเพียงคนเดียวที่สามารถออกใบรับรอง SSL สำหรับโดเมนที่พวกเขาอาจลงทะเบียนกับพวกเขา แต่คุณสามารถรับใบรับรอง SSL จากใครก็ตามที่มีใบรับรองและใช้กับเซิร์ฟเวอร์ปัจจุบันของคุณโดยไม่มีปัญหา

ถ้า GoDaddy กำลังเจ็บปวดกับเรื่องนี้จริง ๆ ฉันขอแนะนำให้ขอใบรับรอง SSL จากแหล่งอื่น

ด้วยวิธีนี้คุณสามารถเข้าสู่ใบรับรอง SSL ใหม่ในเซิร์ฟเวอร์ 300 ในขณะที่เก็บใบรับรอง SSL เก่าไว้ และเมื่อคุณเสร็จสิ้นการเปลี่ยนแปลงให้เพิกถอนใบรับรองเก่าอย่างเป็นทางการ

— JakeGould
แหล่งที่มา

เกี่ยวกับกระบวนการเปลี่ยนใบรับรองที่ไม่เป็นแบบอัตโนมัติ - ลองคิดดูว่าจะเกิดอะไรขึ้นถ้ามีใครบางคนจะขโมยใบรับรองของคุณจริงและคุณต้องยกเลิก คุณสามารถให้ไซต์ของคุณหยุดทำงานเป็นเวลา 10 วันได้หรือไม่?

— ต่อ von Zweigbergk

สำหรับคำตอบส่วนใหญ่คุณหมายถึง "เพิกถอน" ไม่ใช่ "หมดอายุ" โดยทั่วไปแล้วผู้ออกใบรับรองจะถูกเพิกถอนเมื่อมีการยกเลิก แต่จะไม่หมดอายุ (วันหมดอายุของบัตรจะไม่มีการเปลี่ยนแปลงเนื่องจากไม่มีการเผยแพร่ซ้ำกับ CRLs / OCSP / etc)

— Chris Down

@ChrisDown ขอบคุณสำหรับการจับ สมองตอนดึกของฉันเปลี่ยน "ยกเลิก" เป็น "หมดอายุ" แก้ไขเพื่อใช้ "เพิกถอน" แทน

— JakeGould

@ JakeGould คุณพูดถูก ฉันได้รับใบรับรองใหม่ที่ออกและในเวลาเดียวกันฉันยังคงใช้ใบรับรองเดิมอยู่ ปรากฎว่าฉันมีอำนาจในการตัดสินใจเมื่อจะเพิกถอนคนเก่า ฉันสามารถทำให้ทั้งสองใช้งานได้นานเท่าที่ฉันต้องการ

— Kartik

@Kartik Happy สิ่งนี้ได้ผลสำหรับคุณ ใบรับรองไม่ใช่เวทมนตร์ พวกเขาเป็นเพียงแค่สิ่งที่ระบุว่าเซิร์ฟเวอร์ของคุณคือใครในโลกนี้ และเช่นนี้คุณอยู่ในอำนาจตลอดเวลา ใครก็ตามที่อ้างถึงเป็นอย่างอื่นพยายามสร้างความสงสัยเพื่อจุดประสงค์ในการขาย ยินดีที่ได้ช่วย!

— JakeGould