Ho appena acquistato un certificato da RapidSSL. Guardando la catena, ho trovato GeoTrust che è stato firmato da Equifax.
Poi mi sono reso conto che la "Equifax Secure Certificate Authority" scadrà il 2018-08-22 alle 16:42 GMT. Mentre il mio certificato scade il 2018-09-01 alle 01:32 GMT. GeoTrust scadrà il 2022-05-21 alle 06:00. Dando al mio nuovo cert una durata maggiore rispetto a un certificato più in alto nella catena.
Che cosa succederà negli ultimi otto giorni del mio certificato? Non sarà più valido in quanto la catena sarà rotta?
Mi sono imbattuto in questo mentre ho assemblato la catena per far funzionare OSCP in OpenSSL. OpenSSL ha emesso errori quando la mia catena non conteneva Equifax, mentre i browser e altri client sembravano soddisfatti solo della certificazione GeoTrust senza andare oltre la catena. (Presumo che i browser suppongano che GeoTrust sia una CA di primo livello mentre OpenSSL non è felice con loro.)
openssl ocsp -issuer RapidSSL_GeoTrust_Equifax.pem \
-cert my_rappidssl_cert.pem -url http://rapidssl-ocsp.geotrust.com
(Questo influisce anche su nginx se impostato su certificato di punti metallici OCSP. Fallisce allo stesso modo di OpenSSL con una catena incompleta.)
Posso comunque ottenere gli ultimi otto giorni del mio certificato? O dovrei chiedere un rimborso di 8 giorni?