Lo stesso certificato jolly di due diverse CA di terze parti

1

Abbiamo un certificato jolly che scade fra tre mesi. La CA non ci permetterà di rinnovarla fino a un mese prima della sua scadenza. Stiamo pensando di utilizzare una CA diversa da quando abbiamo acquistato altri certificati tramite un'altra CA e sarebbe stato piacevole consolidarli. Possiamo acquistare lo stesso certificato wildcard da un'altra CA tre mesi prima del termine del nostro certificato di caratteri jolly in corso.

La nostra domanda è questa: ci sono problemi con l'avere due certificati jolly da due CA diverse durante questi tre mesi che la loro validità si sovrappone?

Solo uno dei certificati sarà 'attivo' su un determinato server alla volta. Stiamo solo cercando di concederci più tempo per cambiare i certificati.

Questo non sarebbe un problema? I clienti non saprebbero che ci sono due certificati per lo stesso dominio emessi da due diverse CA e lanciano un flag di avviso? Vorrebbero solo vedere qualsiasi certificato è attualmente 'attivo' sul server e finché è valido, dovrebbe essere usato?

    
posta Jeremy 26.04.2016 - 00:46
fonte

3 risposte

2

Stai descrivendo una situazione in cui hai due certificati jolly validi, separati, firmati da CA separate. A differenza di quanto afferma il titolo corrente, non è lo " stesso certificato jolly".

Non c'è nulla che ti impedisca di avere più certificati per gli stessi domini.

I clienti verificheranno la validità e la fiducia del certificato presentato dal server in base ai passaggi descritti nell'help algoritmo di convalida del percorso di certificazione articolo di Wikipedia.

Per un dato dominio, se una CA radice di firma per un certificato inviato dal server e dalle sue CA intermedie era considerata affidabile dal client, il certificato sarà considerato valido e attendibile.

A meno che non ci sia qualche implementazione personalizzata sul lato client, non considererà affatto il certificato precedentemente ricevuto.

    
risposta data 26.04.2016 - 03:27
fonte
2

Clients wouldn't know that there's two certificates for the same domain issued by two different CA's and throw a warning flag?

Di solito.

They would just see whichever certificate is currently 'active' on the server and as long as it's valid, it should be used?

Sì, di solito.

Normalmente le autorità di certificazione non pubblicizzano i loro clienti e certificati, né condividono le note. Potresti ottenere migliaia di certificati da un centinaio di CA diverse e passare da una all'altra ogni cinque minuti, se lo desideri.

(Il progetto Trasparenza certificato per creare registri pubblici e verificabili di emissione di certificati sta cambiando, ma poche CA partecipano ancora, e CT non limita l'emissione, lo documenta solo.)

È comune per i siti Web di grandi dimensioni avere più certificati validi. Possono utilizzare diversi certificati in diversi data center o essere nel bel mezzo di un'attenta transizione, come lo sei tu. Ad esempio, www.google.com emette nuovi certificati settimanali , ognuno dei quali valido per diversi mesi; o vedi le precedenti domande Stack Exchange Perché Facebook serve diversi certificati SSL? e Perché il certificato SSL di Google cambia così frequentemente? .

Ci sono due problemi che potresti incontrare. Il mio ultimo link mostra il primo: la domanda è stata posta da qualcuno che ha utilizzato l'estensione per Firefox Certificate Patrol , che fa avvisa gli utenti quando i siti Web sostituiscono i loro certificati. Ma non è ampiamente utilizzato, e i suoi utenti dovrebbero avere familiarità con il mal di testa che provoca.

In secondo luogo, lo standard HTTP Public Key Pinning (HPKP) cambia tutto. Se lo configuri, può impedire ai client moderni di accettare nuove CA o certificati per i tuoi host. Per apportare modifiche, è necessario aggiornare la configurazione di HPKP e attendere che il vecchio sia scaduto su tutti i client o subirne le conseguenze.

Infine, penso che sia insolito che il tuo CA ti stia impedendo di acquistare un altro certificato - non ci sono ragioni tecniche per farlo e stanno rifiutando i soldi - ma questo è su di loro. Forse puoi usare la loro interfaccia "compra un nuovo certificato" invece del loro "rinnovo del tuo certificato attuale" uno?

In futuro, la tua nuova CA potrebbe non limitarti in questo modo.

    
risposta data 26.04.2016 - 06:38
fonte
0

Sarai in grado di ottenere un altro certificato SSL Wildcard da un'altra CA. Ma potrai installare solo un singolo certificato al momento. Quindi o devi rimuovere l'esistente Wildcard SSL e devi installarne uno nuovo. O ... aspetta fino alla scadenza del certificato esistente.

Non ci sono ostacoli tecnici nell'ottenere un altro certificato in questo momento, ma non sarai in grado di usarli entrambi contemporaneamente. Quindi è meglio aspettare un paio di mesi e lasciare che la data di scadenza si avvicini.

    
risposta data 27.04.2016 - 13:28
fonte

Leggi altre domande sui tag