Que se passe-t-il lorsqu'un certificat SSL est annulé?

14

Nous utilisons actuellement un certificat SSL standard pour un domaine, par exemple example.com, hébergé sur 300 serveurs. Quand quelqu'un demande https://example.com, l'un des serveurs sert la demande.

Maintenant, nous voulons mettre à niveau notre certificat SSL de Standard à un qui protège plusieurs sous-domaines. Notre registraire, GoDaddy, nous a informés que nous devrons annuler le certificat actuel et qu'un nouveau sera émis.

Maintenant, une fois que le nouveau nous a été délivré, il nous faudra environ 10 jours pour remplacer l'ancien sur les 300 serveurs. Dans ces 10 jours, si nos utilisateurs le demandent https://example.comet qu'un serveur qui possède toujours l'ancien certificat sert la demande, alors qu'est-ce qui sera affiché sur le navigateur de l'utilisateur?

L'utilisateur verra-t-il une erreur de certificat non valide?

REMARQUE: Pour mettre fin à tous les jeux, la raison pour laquelle il faut 10 jours pour mettre à jour plus de 300 serveurs est parce que mes serveurs sont déployés dans des bus, des trains et des avions privés et qu'ils servent la demande via un hotspot hors ligne. Ils peuvent servir plusieurs demandes sans se connecter à Internet pendant des jours. Et donc, selon notre dernier taux de mise à jour, il me faudra environ 10 jours pour les mettre à jour tous.

ssl ssl-certificate Kartik
la source
12
Vous n'avez pas suffisamment automatisé votre environnement. Vous devriez pouvoir remplacer tous ces certificats sur une seule commande en quelques minutes.
Michael Hampton
3
Avez-vous demandé à GoDaddy s'ils "révoqueront" réellement le certificat (l'ajouteront à leur liste de révocation de certification) dans ce scénario? J'ai déjà travaillé avec un autre fournisseur (je ne me souviens pas lequel) qui ne révoquerait pas les certificats simplement parce qu'un a été "annulé" sur le plan commercial, mais ne ferait que des révocations en cas de suspicion de jeu déloyal, afin de réduire la taille de le CRL.
Per von Zweigbergk
1
@PervonZweigbergk Correct. Mais je viens de réaliser que ce certificat SSL était peut-être un cadeau gratuit connecté à un package d'enregistrement. Peu importe techniquement, vous pouvez avoir des dizaines de certificats SSL pour un hôte; l'expiration n'est subordonnée à rien concernant l'obtention d'un nouveau ou de plusieurs certificats.
JakeGould
2
Je ne comprends pas comment vous pouvez justifier d'étendre cette tâche à dix jours , même si vous devez modifier le certificat manuellement sur chaque serveur. Est-ce une réalité pratique pour une raison quelconque (quelle raison?), Ou est-ce juste ce que vous dites à votre manager? Une personne devrait être en mesure de le faire en une matinée à moins que vous ne tapiez avec rien d'autre que vos deux index ... et, même dans ce cas, dix jours sont suspects.
Courses de légèreté avec Monica
4
Pour mettre fin à tous les jeux, la raison pour laquelle il faut 10 jours pour mettre à jour plus de 300 serveurs est parce que mes serveurs sont déployés dans des bus, des trains et des avions privés et qu'ils servent la demande via un hotspot hors ligne. Ils peuvent servir plusieurs demandes sans se connecter à Internet pendant des jours. Et donc, selon notre dernier taux de mise à jour, il me faudra environ 10 jours pour les mettre à jour tous.
Kartik

Réponses:

13

Mis à part le fait que vous avez 300 serveurs (!!!) et que vous semblez dire que le processus n'est pas automatisé, cela prendra donc 10 jours (!!!), le scénario décrit par GoDaddy semble éteint. REMARQUE: commentaire non pertinent maintenant qu'un contexte plus clair est placé sur les 300 serveurs dans un problème de 10 jours; la logistique des serveurs en mouvement / connectés sporadiquement est logique.

Oui, si vous souhaitez créer un nouveau certificat, l'ancien certificat SSL doit être révoqué (alias: annulé). Mais d'après mon expérience, les certificats SSL ne doivent pas être immédiatement révoqués car un nouveau certificat SSL a été émis. Vous voudrez peut-être vérifier avec GoDaddy à ce sujet.

De plus, les certificats SSL, les bureaux d'enregistrement et les services d'hébergement sont 3 choses différentes. Parfois, un registraire insiste sur le fait qu'il est le seul à pouvoir émettre un certificat SSL pour un domaine qu'il aurait pu enregistrer avec lui. Mais vous pouvez à peu près obtenir un certificat SSL de toute personne qui en propose un, puis l'utiliser sans problème avec vos serveurs actuels.

Si GoDaddy est vraiment un problème à ce sujet, je recommanderais simplement d'obtenir un certificat SSL d'une autre source.

De cette façon, vous pouvez introduire le nouveau certificat SSL sur les 300 serveurs tout en conservant l'ancien certificat SSL en place. Et puis, lorsque vous avez terminé la transition, vous avez officiellement révoqué l'ancien certificat pour que vous en ayez terminé.

JakeGould
la source
8
En ce qui concerne le processus de remplacement de certificat qui n'est pas automatisé - imaginez ce qui se passerait si quelqu'un volait réellement l'un de vos certificats, et vous devriez aller le révoquer. Pouvez-vous vraiment vous permettre d'avoir votre site en panne pendant 10 jours?
Per von Zweigbergk
1
Pour la plupart de cette réponse, vous voulez dire «révoqué» et non «expiré». Les certificats sont généralement révoqués par leur émetteur lors de leur annulation, ils n'expirent pas (leur date d'expiration n'est pas modifiée, car elle n'est pas repropagée en CRL / OCSP / etc).
Chris Down du
@ChrisDown Merci pour la capture. Mon cerveau de fin de nuit a converti "annulé" en "expiré". Modifié pour utiliser "révoqué" à la place.
JakeGould
2
@JakeGould Vous aviez raison. J'ai obtenu un nouveau certificat et en même temps, l'ancien est toujours actif. Il s'avère que j'ai le pouvoir de décider quand révoquer l'ancien. Je peux garder les deux actifs aussi longtemps que je le souhaite.
Kartik
@Kartik Heureux, cela a fonctionné pour vous. Les certificats ne sont pas magiques; ce sont juste des choses qui identifient qui est votre serveur dans le monde et le valident via une «autorité» tierce. Et en tant que tel, vous êtes au pouvoir à tout moment. Quiconque sous-entendant le contraire essaie simplement de créer un doute à des fins de vente. Heureux d'avoir aidé!
JakeGould