Apa yang terjadi ketika sertifikat SSL dibatalkan?

14

Kami saat ini menggunakan sertifikat SSL standar untuk domain misalnya example.com yang dihosting di 300 server. Ketika seseorang meminta https://example.com, salah satu server melayani permintaan tersebut.

Sekarang, kami ingin memutakhirkan sertifikat SSL kami dari Standar menjadi yang melindungi beberapa sub domain. Pendaftar kami, GoDaddy, memberi tahu kami bahwa kami harus membatalkan sertifikat saat ini dan bukannya yang baru akan dikeluarkan.

Sekarang, setelah yang baru diberikan kepada kami, akan diperlukan sekitar 10 hari bagi kami untuk mengganti yang lebih lama di 300 server. Dalam 10 hari itu, jika pengguna kami meminta https://example.comdan server yang masih memiliki sertifikat lama melayani permintaan, lalu apa yang akan ditampilkan di browser pengguna?

Apakah pengguna akan melihat kesalahan sertifikat yang tidak valid?

CATATAN: Hanya untuk mematikan semua reaksi, alasan dibutuhkan 10 hari untuk memperbarui lebih dari 300 server adalah karena server saya digunakan dalam bus pribadi, kereta api dan pesawat terbang dan mereka melayani permintaan melalui hotspot offline. Mereka dapat melayani beberapa permintaan tanpa terhubung ke internet selama berhari-hari. Dan karenanya, sesuai dengan laju pembaruan terakhir kami, akan memakan waktu sekitar 10 hari bagi saya untuk memperbarui semuanya.

ssl ssl-certificate Kartik
sumber
12
Anda belum cukup mengotomatiskan lingkungan Anda. Anda harus dapat mengganti semua sertifikat itu dalam satu perintah dalam beberapa menit.
Michael Hampton
3
Sudahkah Anda bertanya kepada GoDaddy apakah mereka benar-benar akan "mencabut" sertifikat (tambahkan ke Daftar Pencabutan Sertifikasi mereka) dalam skenario ini? Saya telah bekerja dengan penyedia lain sebelumnya (tidak dapat mengingat yang) yang tidak akan mencabut sertifikat hanya karena salah satu "dibatalkan" dari segi bisnis, tetapi hanya akan melakukan pencabutan jika diduga ada kecurangan, untuk mengurangi ukuran CRL.
Per von Zweigbergk 3-15
1
@PervonZweigbergk Benar. Tapi saya baru sadar bahwa mungkin sertifikat SSL ini adalah freebie yang terhubung ke paket pendaftaran. Terlepas secara teknis, Anda dapat memiliki puluhan sertifikat SSL untuk host; kedaluwarsa tidak bergantung pada apa pun terkait mendapatkan sertifikat baru atau banyak sertifikat.
JakeGould
2
Saya tidak mengerti bagaimana Anda bisa membenarkan peregangan tugas ini hingga sepuluh hari , bahkan jika Anda harus mengubah sertifikat secara manual di setiap server. Apakah itu kenyataan praktis untuk beberapa alasan (alasan apa?), Atau hanya apa yang Anda katakan kepada manajer Anda? Satu orang harus bisa melakukan ini di pagi hari kecuali Anda mengetik dengan hanya dua jari telunjuk Anda ... dan, bahkan kemudian, sepuluh hari itu mencurigakan.
Lightness Races with Monica
4
Hanya untuk menahan semua reaksi, alasan dibutuhkan 10 hari untuk memperbarui lebih dari 300 server adalah karena server saya digunakan dalam bus pribadi, kereta api dan pesawat terbang dan mereka melayani permintaan melalui hotspot offline. Mereka dapat melayani beberapa permintaan tanpa terhubung ke internet selama berhari-hari. Dan karenanya, sesuai dengan laju pembaruan terakhir kami, akan memakan waktu sekitar 10 hari bagi saya untuk memperbarui semuanya.
Kartik

Jawaban:

13

Mengesampingkan fakta bahwa Anda memiliki 300 server (!!!) dan Anda tampaknya mengatakan prosesnya tidak otomatis sehingga akan memakan waktu 10 hari (!!!) untuk menyelesaikan, skenario yang dijelaskan oleh GoDaddy tampaknya tidak aktif. CATATAN: Komentar tidak relevan sekarang karena konteks yang lebih jelas ditempatkan pada 300 server dalam masalah 10 hari; logistik pemindahan / server yang terhubung secara sporadis masuk akal.

Ya, jika Anda ingin membuat sertifikat baru, sertifikat SSL lama harus dicabut (alias: dibatalkan). Tetapi dalam pengalaman saya, sertifikat SSL tidak harus segera dicabut karena sertifikat SSL baru telah dikeluarkan. Anda mungkin ingin memeriksa dengan GoDaddy tentang hal ini.

Selain itu, sertifikat SSL, pendaftar, dan layanan hosting adalah 3 hal berbeda. Terkadang pendaftar akan bersikeras bahwa merekalah satu-satunya yang dapat mengeluarkan sertifikat SSL untuk domain yang mungkin telah mereka daftarkan. Tetapi Anda bisa mendapatkan sertifikat SSL dari siapa pun yang menawarkannya dan kemudian menggunakannya dengan server Anda saat ini tanpa masalah.

Jika GoDaddy benar-benar menyusahkan hal ini, saya akan merekomendasikan hanya mendapatkan sertifikat SSL dari sumber lain.

Dengan begitu Anda dapat menggunakan fase dalam sertifikat SSL baru di 300 server sambil tetap mempertahankan sertifikat SSL lama. Dan ketika Anda selesai dengan transisi, secara resmi mencabut sertifikat lama sehingga Anda selesai dengan itu.

JakeGould
sumber
8
Mengenai proses penggantian sertifikat yang tidak otomatis - bayangkan apa yang akan terjadi jika seseorang benar-benar mencuri salah satu sertifikat Anda, dan Anda harus mencabutnya. Bisakah Anda benar-benar mampu menurunkan situs Anda selama 10 hari?
Per von Zweigbergk 3-15
1
Untuk sebagian besar jawaban ini, maksud Anda "dicabut", bukan "kedaluwarsa". Sertifikat biasanya dicabut oleh penerbitnya pada saat pembatalan, mereka tidak kedaluwarsa (tanggal kedaluwarsanya tidak disentuh, karena tidak direpropagasikan ke CRL / OCSP / dll).
Chris Down
@ChrisDown Terima kasih atas tangkapannya. Otak larut malam saya dikonversi "dibatalkan" menjadi "kedaluwarsa." Diedit untuk menggunakan "dicabut" sebagai gantinya.
JakeGould
2
@ JakeGould Anda benar. Saya mendapat sertifikat baru yang dikeluarkan dan pada saat yang sama, saya masih memiliki yang lama. Ternyata saya memiliki kekuatan untuk memutuskan kapan mencabut yang lama. Saya dapat tetap aktif selama yang saya inginkan.
Kartik
@Kartik Senang ini berhasil untuk Anda. Sertifikat bukan sihir; mereka hanya hal-hal yang mengidentifikasi siapa server Anda kepada dunia dan memvalidasinya melalui "otoritas" pihak ke-3. Dengan demikian, Anda berkuasa setiap saat. Siapa pun yang menyiratkan sebaliknya hanya mencoba menciptakan keraguan untuk tujuan penjualan. Senang telah membantu!
JakeGould