O Comodo inicia o alerta aos 60 dias, link
A GoDaddy recomenda 60, link
A Entrust recomenda 30, link
Outros não parecem ter uma recomendação inicial facilmente encontrada
Universalmente parece ser documentado que renovar antes da marca de 15 dias.
Recentemente, o certificado SSL do Armazenamento do Windows Azure expirou e isso causa muitos problemas. Agora, o certificado pode ser recuperado por qualquer usuário e, portanto, todos podem ter percebido que ele expiraria.
Agora, qual é o prazo típico de substituir um certificado prestes a expirar? É um mês antes da expiração ou uma semana antes do vencimento ou em qualquer outro momento?
Em outras palavras, suponha que eu esteja validando um certificado de serviço de terceiros e veja que ele expira em N dias. Se eu notar com um dia de antecedência, pode ser tarde demais - precisarei de tempo para entrar em contato com o proprietário do serviço e eles precisarão de tempo para reemitir o certificado e substituí-lo. Se eu notificá-lo com um mês de antecedência - pode ser muito cedo para dar o alarme - talvez o dono do serviço esteja prestes a substituir o certificado um pouco mais tarde.
Qual é o valor de N tal que se o certificado SSL estiver prestes a expirar em N dias, é provável que o proprietário do serviço tenha esquecido sua expiração? Qual é a prática comum de quando atualizar um certificado SSL prestes a expirar?
Eu tenho medo que a prática mais comum é "lutar para substituí-lo quando já está expirado" ...
Mas além da informação muito útil listada pelo Kormoc, eu recomendo strongmente que você use um fornecedor que irá enviar alertas - e certifique-se de que os alertas para ir a uma caixa de correio que alguém realmente assistirá. Se você configurá-lo para um endereço pessoal dentro da empresa, corre o risco de essa pessoa estar de férias ou doente ou mesmo ter deixado a empresa. Em vez disso, verifique se você tem um endereço que seja uma caixa de correio de grupo ou uma lista de discussão que se expande para várias pessoas.
Se você tem algum tipo de sistema de monitoramento, você também pode definir um cron job para executar, por exemplo, uma vez por semana que informa o número de dias a expirar e começa a alertá-lo quando o número de dias cai abaixo de um determinado valor.
Sou um grande fã de sistemas de monitoramento. O plugin padrão do NAGIOS check_http tem um cheque para a expiração do certificado SSL, e você pode definir isso como ADVERTÊNCIA um certo tempo antes, e outro CRITICAL, menor, antes. Então, acho que a primeira parte da minha resposta é não deixar que o fornecedor do certificado, ou qualquer outra pessoa, seja responsável por notificá-lo. Tenha seu próprio sistema automatizado que o faça e garanta que ele seja feito quando você determinar que isso deve ser feito.
Quais devem ser esses horários? Você sabe quanto tempo leva para transformar uma notificação em um CSR recém-cunhado válido, quanto tempo seus fornecedores de certificado demoram para recuperar os CSRs e quanto tempo você leva para agendar o tempo de inatividade para que o novo certificado seja instalado em cada servidor. Adicione esses três tempos juntos e esse é o tempo mínimo para gerar uma notificação automatizada; um bom valor limite de NAGIOS CRÍTICO.
Em seguida, adicione uma margem confortável para feriados, inércia, etc., e esse é um bom limite de AVISO. No meu caso, adiciono duas semanas para isso.
Além disso, se a falha do serviço for crítica para os negócios, adicione pelo menos uma semana a mais para evitar que isso aconteça.
E como uma dica final, se você está apenas usando certificados SSL padrão do pântano, e atualmente está pagando muito por eles, encontre um local de atendimento mais barato e compre certificados de período mais longo. A melhor maneira de não perder uma renovação de certificado SSL é não ter uma em breve.
Um bom script de ajuda é ssl-cert-check
Veja o artigo "Expiração de certificado de tratamento proativo com ssl-cert-check" para mais informações
Para ubuntu é parte dos repositórios do universe .
Tags ssl monitoring ssl-certificate