Rinnovo del certificato SSL e tempi di inattività dovuti alla revoca

Naviga le tue risposte
6

Siamo in procinto di rinnovare un certificato SSL, principalmente per l'uso forzato di SHA256. Sono a conoscenza del fatto che una nuova Certificate Signing Request (CSR) deve essere emessa per lo stesso nome host e deve essere firmata. Questo ci darà il nuovo certificato da importare nel nostro keystore.

Tuttavia, quando rinnovo un certificato, questo IMMEDIATAMENTE revoca il vecchio certificato, in modo che nessuno possa accedere al mio sito Web finché il certificato appena creato non viene importato nel mio keystore? C'è un tempo di sovrapposizione durante il quale posso ancora avere il mio sito web in esecuzione sotto il vecchio certificato fino a quando non mi flip al nuovo certificato, ad esempio, 2 AM quando nessuno sta accedendo al mio sito web? BTW: My Certification Authority (CA) è Entrust Technologies.

    
posta Jean-Francois Messier 16.10.2015 - 20:33
fonte

2 risposte

7

Rinnovare un certificato SSL è l'equivalente funzionale di generare un nuovo certificato; non è una revoca e il certificato "vecchio" continuerà ad essere accettato come valido, supponendo che non sia ancora scaduto. Non ci sono requisiti di downtime / manutenzione per la sua sostituzione.

Si noti tuttavia che a causa della SSL SHA1 Deprecazione di hash , molte autorità di certificazione (CA) si stanno muovendo rapidamente per eliminare gradualmente SHA1 in favore di SHA256 entro la fine del 2016. Ciò significa che molte CA semplificano la "re-chiave" di SSL basato su SHA1 esistente certificati, che forniscono una rapida rigenerazione del certificato SSL esistente, utilizzando il nuovo algoritmo di hash SHA256, in genere con pochi clic. GoDaddy, un importante registratore di CA / dominio, implementa questa funzionalità tramite il loro servizio CA SSL di Starfield .

Ciò che non viene spesso chiarito, è che una chiave di accesso di un certificato SHA1 a un certificato SHA2 può includere una revoca implicita del certificato esistente. Il processo sottostante di Starfield per reimpostare un certificato SHA1 genera una richiesta di revoca, rendendo immediatamente non valido il certificato SSL corrente. Non c'è documentazione o avviso su questo importante dettaglio (!). Molti presumeranno che la richiesta di un certificato ri-chiave sia l'equivalente di un rinnovo del certificato, quando in realtà si tratta di una richiesta di revoca, più la generazione del nuovo certificato. Immagina la tua sorpresa dopo aver fatto clic su "re-key" e quindi scaricato il nuovo certificato, forse in attesa di un'installazione successiva, e che entro poche ore il tuo endpoint SSL non sarà più valido. Non è divertente. Quindi stai molto attento a ridigitare i certificati SHA1 durante il periodo di transizione per la deprecazione SHA1.

Un altro punto da tenere presente quando si esegue la migrazione da certificati SHA1 a SHA2, è quello di assicurarsi e scaricare e installare la nuova catena di certificati intermedi CA nel proprio archivio di chiavi contemporaneamente. La migrazione da SHA1 a SHA256 spesso significa che il nuovo certificato SHA256 richiede nuove catene di certificati SHA256 intermedie nel keystore. Non farlo può comportare l'invalidazione del certificato di base.

    
risposta data 17.10.2015 - 04:35
fonte
4

Il rinnovo di un certificato non revocherà il certificato corrente, che è contemporaneamente possibile coesistere e essere valido. La revoca viene eseguita principalmente se la chiave privata potrebbe essere compromessa, ovvero se un utente malintenzionato potrebbe utilizzare il certificato in modo errato per autenticarsi in modo errato come sito in questione.

    
risposta data 16.10.2015 - 20:43
fonte

Leggi altre domande sui tag

Perché posso firmare ma non crittografare? Memorizzazione di token anti-CSRF nel cookie