Va bene creare un nuovo certificato SSL prima che scada quello vecchio?

6

Nell'ultimo anno ho creato più certificati SSL che sono tutti validi per un anno. Tra una settimana o così, il primo scadrà. Ho pensato che sarebbe stato pratico se tutti i miei certificati avessero la stessa data di scadenza. In questo modo, so che un giorno dovrò rinnovare tutti i certificati; è più facile non commettere errori in questo modo.

Quindi, va bene se rinnovassi un certificato che è ancora valido per circa mezzo anno o giù di lì?

Devo revocare il vecchio? I miei certificati erano gratuiti (tramite StartSSL), ma la revoca non lo è. Per quanto ne so nessuno ha ottenuto i certificati, quindi ho davvero bisogno di revoca? Non sarebbe sufficiente mantenere le copie da qualche parte offline e non revocare i certificati?

    
posta Keelan 05.08.2015 - 10:26
fonte

3 risposte

10

Is it OK to create a new SSL certificate before the old one expires?

Sì. Non c'è nulla che ti impedisca tecnicamente di farlo. E se sei una grande azienda, allora potresti volerlo fare generalmente come assicurazione contro il fallimento di CA. Se ad esempio la tua CA di scelta viene compromessa e revoca improvvisamente tutti i suoi certificati, allora puoi semplicemente distribuire l'altro certificato (da un'altra CA di grandi dimensioni) che hai in giro solo per un evento così improbabile. (Ad esempio, se sei su FaceBook, potresti volere qualcosa di simile.)

So, is it okay if I would now renew a certificate that is still valid for half a year or so?

Se vuoi avvisare le persone di non usare più questo certificato, allora dovresti pagare per la revoca.

La scadenza è l'implicito "Non usarlo più" - regola. La revoca è l'esplicito "Non usare più" -rule.

Esempio: se il tuo server è stato violato, dovresti prendere in considerazione il furto della chiave privata del tuo certificato. Quindi chiunque sia in seguito incontra ancora il certificato compromesso in natura dovrebbe essere avvisato.

Altrimenti (se puoi anche garantire la sicurezza dell'archivio offline), puoi semplicemente lasciare scadere il certificato.

Sostituzione dell'interfaccia utente per scaduta. Ma non per revocato.

Gli errori dei certificati scaduti vengono visualizzati in modo diverso nei browser. Ad esempio, Google Chrome al momento consente all'utente di ignorare manualmente un avviso di un certificato scaduto. Tuttavia, NON consente l'override per un certificato esplicitamente revocato .

    
risposta data 05.08.2015 - 11:18
fonte
0

Sì, puoi farlo senza dover revocare il vecchio purché abbia (entrambi) lo stesso nome di dominio su di essi.

    
risposta data 05.08.2015 - 10:34
fonte
0

In generale va bene ottenere un nuovo certificato prima che il vecchio sia scaduto e la revoca non è necessaria. La revoca è un'infrastruttura di processo relativamente costosa (inclusione in CRL ampiamente distribuiti) e dovrebbe essere normalmente utilizzata solo quando esiste un motivo per ritenere che la chiave privata sia compromessa.

Sfortunatamente startssl non emetterà un nuovo certificato con lo stesso nome comune e lo stesso livello di convalida a meno che il vecchio sia revocato o che sta per scadere. È possibile aggirare questo problema sui livelli a pagamento emettendo un certificato con un nome comune diverso e il nome che si desiderava veramente come nome alternativo, ma non lo consentono sul proprio livello gratuito.

Non vedo alcun motivo legittimo per questo comportamento se non come un modo per spingere gli utenti di livello gratuito a pagare loro denaro.

    
risposta data 14.11.2015 - 16:44
fonte

Leggi altre domande sui tag