SSL 2048-bit certs, como atualizar nosso aplicativo da web sem prejudicar os clientes da API legada?

Navegue suas respostas
3

O problema

Os provedores de certificado SSL estão migrando de certificados assinados com chaves RSA de 1024 bits para o novo padrão de chave RSA de 2048 bits. Um artigo explicando o histórico e o significado dos problemas que isso pode causar ; também um artigo da VeriSign sobre a migração.

Para nosso aplicativo Web específico, temos centenas de sistemas de clientes que se conectam ao nosso sistema por meio de chamadas da API SOAP por HTTPS e por POSTs HTTPS. Um problema secundário são os usuários finais que navegam para os URLs HTTPS. Para usuários finais, a atualização de um certificado VeriSign de 1024 bits para um novo certificado de 2048 bits não deverá ter um grande impacto, pois a maioria dos navegadores / sistemas operacionais confiarão na nova autoridade de certificação raiz. Os sistemas legados que se conectam a nós são uma história diferente, desenvolvidos até 10 anos atrás, eles estão em uma variedade de sabores de hardware e SO e têm várias estratégias de gerenciamento de certificados. O impacto se eles não confiarem na nova autoridade de certificação raiz é catastrófico, já que seus sistemas que foram executados sem problemas por anos irão de repente parar de funcionar. A correção é simples, mas requer que um administrador aplique em seu servidor.

Soluções potenciais

  1. Atrase a atualização pelo maior tempo possível (Difícil, pois os certificados expirarão no próximo ano e nenhum fornecedor respeitável emitirá certificados de 1024 bits.)
  2. Entre em contato com cada cliente e acompanhe o processo de atualização (possível, mas difícil, pois o contato técnico que fez a implementação original pode não estar mais disponível)

Como outras organizações lidam com esse problema?

    
por JonathanJ 14.09.2011 / 09:26

3 respostas

3

Um dos recursos do sistema de autoridade de certificação é que as coisas mudam. As raízes expiram, novas raízes passam a existir, os certificados são revogados, as raízes vão à falência depois de compromissos. Um mecanismo de atualização realmente precisa estar pronto para lidar com essas mudanças.

Há uma terceira opção disponível, que é usar uma CA diferente que ofereça certificados 2K assinados com uma autoridade há cerca de 10 anos. Isso não é Verisign, mas pode ser alguém como Thawte.

Se isso não funcionar, você precisará de uma solução de mistura. Forneça um site de teste com o novo CA escolhido para validação dos clientes e ofereça bastante aviso de que o certificado será alterado e dividirá até 25% dos clientes. Crie o máximo de documentação de atualização que você possa imaginar e crie mais enquanto os clientes se deparam com problemas. Salientar que atualizar as informações da CA é algo que todos os sistemas precisam fazer de vez em quando, portanto documentar isso é uma coisa boa a longo prazo; é uma boa prática.

    
por 20.09.2011 / 18:10
2

Você precisa de uma opção 2 + 1. Você precisa configurar um site de teste / alternativo com um novo certificado para as pessoas qualificarem-se. Eles nunca saberão se têm sua raiz particular sem um monte de trabalho, mas é provável que praticamente qualquer pessoa em seu grupo de manipulação de dados possa testar um novo link para problemas.

Dê às pessoas uma linha do tempo até que o novo certificado tenha que estar em vigor devido à data de renovação e ofereça ajuda conforme sugerido. Avise-os que a ajuda será limitada nas últimas semanas, já que você não tem mais de 1.000 pessoas sentadas esperando que elas trabalhem esta semana. ; -)

Sem um encontro difícil, as pessoas não se mexerão e, sem um teste fácil, a maioria não vai se incomodar em testar para ver se elas são afetadas pela mudança.

Se você conseguir que o site alternativo funcione como produção, basta fazer a transição das pessoas para lá permanentemente e saber, a partir dos seus registros no antigo servidor, quantos clientes ainda estão fora de conformidade.

    
por 20.09.2011 / 15:05
0

Como você disse, existem duas opções.

Eu pré-preparo para a opção 2 e anuncio essa mudança para seu cliente desde cedo, combinada com sua assistência técnica ...

Se você conhece os ips dos sistemas legados de seus clientes, pode fazer alguns truques que ajudarão você a migrar de acordo com cada cliente, em vez de fazer uma alteração difícil no dia X para todos.

    
por 19.09.2011 / 12:45

Tags

Posso usar túneis SSH como um substituto de VPN? personalizando o terminal ssh shell [closed]