SSL 인증서가 취소되면 어떻게됩니까?

14

현재 300 대의 서버에서 호스팅되는 example.com 도메인에 표준 SSL 인증서를 사용하고 있습니다. 누군가 요청 https://example.com하면 서버 중 하나가 요청을 처리합니다.

이제 SSL 인증서를 표준에서 여러 하위 도메인을 보호하는 인증서로 업그레이드하려고합니다. 등록 기관인 GoDaddy는 현재 인증서를 취소해야하며 대신 새 인증서가 발급 될 것임을 알 렸습니다.

이제 새 것이 발행되면 300 대의 서버에서 기존을 교체하는 데 약 10 일이 소요됩니다. 이 10 일 동안 사용자가 요청 https://example.com하고 여전히 기존 인증서가있는 서버가 요청을 처리하면 사용자의 브라우저에 무엇이 표시됩니까?

사용자에게 잘못된 인증서 오류가 표시됩니까?

참고 : 모든 백래시를 휴지 상태로두기 위해 300 대가 넘는 서버를 업데이트하는 데 10 일이 걸리는 이유는 서버가 개인 버스, 기차 및 항공기에 배포되어 오프라인 핫스팟을 통해 요청을 제공하기 때문입니다. 그들은 며칠 동안 인터넷에 연결하지 않고 여러 요청을 처리 할 수 ​​있습니다. 따라서 마지막 업데이트 속도에 따라 모두 업데이트하는 데 약 10 일이 걸립니다.

ssl  ssl-certificate 
카르 틱
소스
12
환경을 충분히 자동화하지 않았습니다. 몇 분 안에 모든 명령을 단일 명령으로 교체 할 수 있습니다.
Michael Hampton
3
이 시나리오에서 GoDaddy에 인증서를 실제로 "폐지"할지 (인증 취소 목록에 추가) 여부를 물었습니까? 나는 이전에 다른 공급 업체와 협력 해 왔는데 (어떤 것을 기억할 수 없는가?) 인증서는 단순히 비즈니스 측면에서 "취소"되었기 때문에 인증서를 취소하지는 않지만 파울 플레이가 의심되는 경우에만 해지하여 크기를 줄입니다. CRL.
폰 Zweigbergk 당
1
@PervonZweigbergk 맞습니다. 그러나 나는이 SSL 인증서가 등록 패키지에 연결된 일부 공짜라는 것을 깨달았습니다. 기술적으로는 호스트에 대해 수십 개의 SSL 인증서가있을 수 있습니다. 만료는 새 인증서 또는 여러 인증서를 얻는 것과 관련이 없습니다.
JakeGould
2
각 서버에서 인증서를 수동으로 변경해야 하더라도이 작업을 10 일로 확장하는 방법을 이해할 수 없습니다 . 그것은 어떤 이유로 든 실제적인 현실입니까 (이유는 무엇입니까?), 아니면 당신이 매니저에게 말한 것입니까? 검지 두 개 외에 아무 것도 입력하지 않으면 한 사람이 아침 에이 작업을 수행 할 수 있어야합니다 .
Monica와의 가벼움 경주
4
모든 백래시를 휴지 상태로두기 위해 300 대가 넘는 서버를 업데이트하는 데 10 일이 걸리는 이유는 서버가 개인 버스, 기차 및 항공기에 배포되어 오프라인 핫스팟을 통해 요청을 처리하기 때문입니다. 그들은 며칠 동안 인터넷에 연결하지 않고 여러 요청을 처리 할 수 ​​있습니다. 따라서 마지막 업데이트 속도에 따라 모두 업데이트하는 데 약 10 일이 걸립니다.
Kartik

답변:

13

300 대의 서버 (!!!)가 있고 프로세스가 자동화되지 않았으므로 완료하는 데 10 일 (!!!)이 걸린다는 사실을 제쳐두면 GoDaddy에서 설명한 시나리오가 사라진 것 같습니다. 참고 : 10 일 동안 300 대의 서버에서보다 명확한 컨텍스트가 제공되므로 관련이 없습니다. 이동 / 분산 적으로 연결된 서버의 물류는 합리적입니다.

예, 새 인증서를 만들려면 기존 SSL 인증서 해지 해야 합니다 (일명 취소). 그러나 내 경험상 SSL 인증서는 새로운 SSL 인증서가 발급되어 즉시 취소 할 필요가 없습니다. 이것에 대해 GoDaddy와 다시 확인하고 싶을 수도 있습니다.

또한 SSL 인증서, 레지스트라 및 호스팅 서비스는 3 가지입니다. 때로는 레지스트라는 자신이 등록한 도메인에 대해 SSL 인증서를 발급 할 수있는 유일한 사람이라고 주장하기도합니다. 그러나 인증서를 제공하는 사람으로부터 SSL 인증서를 얻은 다음 문제없이 현재 서버에서 사용할 수 있습니다.

GoDaddy가 실제로 어려움을 겪고 있다면 다른 소스에서 SSL 인증서를 얻는 것이 좋습니다.

이렇게하면 기존 SSL 인증서를 그대로 유지하면서 300 대의 서버에서 새 SSL 인증서를 단계적으로 수행 할 수 있습니다. 그런 다음 전환이 완료되면 이전 인증서를 공식적으로 해지하여 완료했습니다.

제이크 굴드
소스
8
인증서 교체 프로세스가 자동화되지 않는 경우 누군가 누군가가 실제로 인증서 중 하나를 훔쳐서 철회해야 할 경우 어떻게 될지 상상해보십시오. 10 일 동안 사이트를 다운받을 여유가 있습니까?
폰 Zweigbergk 당
1
이 답변의 대부분은 "만료"가 아니라 "취소"를 의미합니다. 일반적으로하는 인증서 취소 (이 CRL의 / OCSP의 / etc repropagated 아니에요 이후, 유효 기간이 그대로 남아) 취소에 자신의 발행자에 의해, 그들은 만료되지 않습니다.
Chris Down
@ChrisDown 캐치 주셔서 감사합니다. 늦은 밤 뇌가 "취소됨"을 "만료 됨"으로 변환했습니다. 대신 "취소"를 사용하도록 편집했습니다.
JakeGould 2009 년
2
@JakeGould 당신이 옳았습니다. 새 인증서가 발급되는 동시에 기존 인증서가 여전히 활성화되어 있습니다. 오래된 것을 철회 할시기를 결정할 힘이 있음이 밝혀졌습니다. 나는 내가 원하는 한 둘 다 활동적으로 유지할 수 있습니다.
Kartik
@Kartik 행복한 당신을 위해 일했다. 인증서는 마술이 아닙니다. 이는 서버가 전세계에있는 사람을 식별하고 타사 "권한"을 통해 서버를 검증하는 것입니다. 따라서 항상 귀하는 힘을 발휘할 수 있습니다. 달리 암시하는 사람은 단순히 판매 목적으로 의심을 일으키려고합니다. 도와 드리겠습니다!
JakeGould
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.