O que acontece quando um certificado SSL é cancelado?

14

No momento, estamos usando um certificado SSL padrão para um domínio, por exemplo, example.com hospedado em 300 servidores. Quando alguém solicita https://example.com , um dos servidores atende a solicitação.

Agora, queremos atualizar nosso certificado SSL do padrão para um que proteja vários subdomínios. Nosso registrador, GoDaddy, nos informou que precisaremos cancelar o certificado atual e, em vez disso, um novo será emitido.

Agora, uma vez que o novo é emitido para nós, levará aproximadamente 10 dias para substituirmos o antigo nos 300 servidores. Nesses 10 dias, se nossos usuários solicitarem https://example.com e um servidor que ainda tiver o certificado antigo atender à solicitação, o que será mostrado no navegador do usuário?

O usuário verá um erro de certificado inválido?

OBSERVAÇÃO: Apenas para colocar todo o backlash em repouso, o motivo de demorar 10 dias para atualizar mais de 300 servidores é porque meus servidores são implantados em ônibus privados, trens e aeronaves e eles atendem a pedidos via um hotspot offline. Eles podem atender várias solicitações sem se conectar à internet por dias. E assim, de acordo com nossa última taxa de atualização, levará aproximadamente 10 dias para atualizar todos eles.

    
por Kartik 03.10.2015 / 08:27

1 resposta

13

Pondo de lado o fato de você ter 300 servidores (!!!) e você parece dizer que o processo não é automatizado, então levará 10 dias (!!!) para ser concluído, o cenário descrito pela GoDaddy parece off. NOTA: Comentário irrelevante agora que um contexto mais claro é colocado nos 300 servidores em questão de 10 dias; a logística de servidores móveis / esporadicamente conectados faz sentido.

Sim, se você deseja criar um novo certificado, o certificado SSL antigo deve ser revogado (também conhecido como: cancelado). Mas, na minha experiência, os certificados SSL não precisam ser revogados imediatamente porque um novo certificado SSL foi emitido. Você pode querer verificar com o GoDaddy sobre isso.

Além disso, os certificados SSL, registradores e serviços de hospedagem são três coisas diferentes. Às vezes, um registrador insiste que eles são os únicos que podem emitir um certificado SSL para um domínio que eles possam ter registrado com eles. Mas você pode obter um certificado SSL de qualquer pessoa que ofereça um e usá-lo com seus servidores atuais sem problemas.

Se o GoDaddy estiver realmente sofrendo com isso, recomendo que você obtenha um certificado SSL de outra fonte.

Dessa forma, você pode inserir o novo certificado SSL nos 300 servidores, mantendo o antigo certificado SSL no lugar. E quando terminar a transição, revogou oficialmente o certificado antigo para que você conclua o processo.

    
por 03.10.2015 / 10:07