SSL प्रमाणपत्र रद्द होने पर क्या होता है?

14

हम वर्तमान में 300 सर्वर पर होस्ट किए गए example.com डोमेन के लिए एक मानक SSL प्रमाणपत्र का उपयोग कर रहे हैं। जब कोई अनुरोध करता है https://example.com, तो सर्वर में से एक अनुरोध कार्य करता है।

अब, हम अपने SSL प्रमाणपत्र को मानक से एक में अपग्रेड करना चाहते हैं जो कई उप डोमेन की सुरक्षा करता है। हमारे रजिस्ट्रार, GoDaddy ने हमें सूचित किया कि हमें वर्तमान प्रमाणपत्र को रद्द करने की आवश्यकता होगी और इसके बजाय एक नया जारी किया जाएगा।

अब एक बार नया जारी होने के बाद, हमें 300 सर्वरों पर पुराने को बदलने में लगभग 10 दिन लगेंगे। उन 10 दिनों में, यदि हमारे उपयोगकर्ता अनुरोध करते हैं https://example.comऔर एक सर्वर जिसके पास अभी भी पुराना प्रमाण पत्र है, वह अनुरोध करता है, तो उपयोगकर्ता के ब्राउज़र पर क्या दिखाया जाएगा?

क्या उपयोगकर्ता को एक अवैध प्रमाणपत्र त्रुटि दिखाई देगी?

नोट: बस सभी बैकलैश को आराम से रखने के लिए, 300 सर्वरों को अपडेट करने में 10 दिन लगते हैं क्योंकि मेरे सर्वर निजी बसों, ट्रेनों और विमानों में तैनात हैं और वे ऑफ़लाइन हॉटस्पॉट के माध्यम से अनुरोध करते हैं। वे दिनों के लिए इंटरनेट से कनेक्ट किए बिना कई अनुरोधों की सेवा कर सकते हैं। और इसलिए, हमारी अंतिम अपडेट दर के अनुसार, मुझे उन सभी को अपडेट करने में लगभग 10 दिन लगेंगे।

ssl  ssl-certificate 
कार्तिक
स्रोत
12
आपने अपने पर्यावरण को पर्याप्त रूप से स्वचालित नहीं किया है। आपको उन सभी प्रमाणपत्रों को कुछ ही मिनटों में एक ही आदेश पर बदलने में सक्षम होना चाहिए।
माइकल हैम्पटन
3
क्या आपने GoDaddy से पूछा है कि क्या वे वास्तव में इस परिदृश्य में प्रमाण पत्र को "निरस्त" करेंगे (इसे उनकी प्रमाणन निरस्तीकरण सूची में जोड़ें)? मैं पहले किसी अन्य प्रदाता के साथ काम कर रहा हूं (जो याद नहीं कर सकता) जो कि सिर्फ इसलिए कि कारोबार को "रद्द" कर दिया गया था, सेर्ट्स को रद्द नहीं करेगा, लेकिन केवल बेईमानी से खेल के आकार को कम करने के मामले में ही निरस्तीकरण किया जाएगा सीआरएल।
प्रति वॉन ज़्वीबर्गबर्ग
1
@PervonZweigbergk सही। लेकिन मुझे सिर्फ एहसास हुआ कि शायद यह एसएसएल प्रमाणपत्र कुछ फ्रीबी था जो एक पंजीकरण पैकेज से जुड़ा था। भले ही तकनीकी रूप से आपके पास एक मेजबान के लिए दर्जनों एसएसएल प्रमाणपत्र हो सकते हैं; नया या एकाधिक प्रमाण पत्र प्राप्त करने के संबंध में कुछ भी समाप्ति पर आकस्मिक नहीं है।
जेकलौड
2
मुझे समझ में नहीं आता है कि आप इस कार्य को दस दिनों तक कैसे बढ़ा सकते हैं , भले ही आपको प्रत्येक सर्वर पर मैन्युअल रूप से प्रमाणपत्र बदलना पड़े। क्या यह किसी कारण के लिए एक व्यावहारिक वास्तविकता है (क्या कारण है?), या यह सिर्फ वही है जो आप अपने प्रबंधक को बताते हैं? एक व्यक्ति को सुबह में ऐसा करने में सक्षम होना चाहिए जब तक कि आप कुछ भी नहीं लिख रहे हों, लेकिन आपकी दो तर्जनी उंगलियां ... और फिर भी, दस दिन संदिग्ध हैं।
मोनिका
4
बस सभी बैकलैश को आराम से रखने के लिए, 300 सर्वरों को अपडेट करने में 10 दिन लगते हैं, क्योंकि मेरे सर्वर निजी बसों, ट्रेनों और विमानों में तैनात हैं और वे ऑफ़लाइन हॉटस्पॉट के माध्यम से अनुरोध करते हैं। वे दिनों के लिए इंटरनेट से कनेक्ट किए बिना कई अनुरोधों की सेवा कर सकते हैं। और इसलिए, हमारी अंतिम अपडेट दर के अनुसार, मुझे उन सभी को अपडेट करने में लगभग 10 दिन लगेंगे।
कार्तिक

जवाबों:

13

इस तथ्य को एक तरफ रखते हुए कि आपके पास 300 सर्वर (!!!) हैं और आपको लगता है कि प्रक्रिया स्वचालित नहीं है, इसलिए इसे पूरा करने में 10 दिन (!!!) लगेंगे, जिसे GoDaddy ने वर्णित किया है, ऐसा लगता है। नोट: अब अप्रासंगिक टिप्पणी करें कि एक स्पष्ट संदर्भ 300 सर्वरों पर 10 दिनों के अंक में रखा गया है; चलती / छिटपुट रूप से जुड़े सर्वरों की रसद समझ में आती है।

हां, यदि आप एक नया प्रमाणपत्र बनाना चाहते हैं, तो पुराने एसएसएल प्रमाणपत्र को रद्द कर दिया जाना चाहिए (उर्फ: रद्द)। लेकिन मेरे अनुभव में एसएसएल प्रमाणपत्रों को तुरंत निरस्त नहीं किया जाना चाहिए क्योंकि एक नया एसएसएल प्रमाणपत्र जारी किया गया है। आप इस बारे में GoDaddy के साथ दोबारा जांच कर सकते हैं।

इसके अलावा, एसएसएल सर्टिफिकेट, रजिस्ट्रार और होस्टिंग सेवाएं 3 अलग-अलग चीजें हैं। कभी-कभी एक रजिस्ट्रार जोर देकर कहते हैं कि वे केवल एक ही हैं जो एक डोमेन के लिए एसएसएल प्रमाणपत्र जारी कर सकते हैं जो उन्होंने उनके साथ पंजीकृत किया हो। लेकिन आप बहुत से एक एसएसएल प्रमाणपत्र प्राप्त कर सकते हैं जो किसी को भी प्रदान करता है और फिर बिना किसी समस्या के अपने वर्तमान सर्वर के साथ इसका उपयोग कर सकता है।

अगर GoDaddy को वास्तव में इस बारे में दर्द हो रहा है, तो मैं एक अन्य स्रोत से सिर्फ SSL प्रमाणपत्र प्राप्त करने की सलाह दूंगा।

इस तरह आप पुराने एसएसएल सर्टिफिकेट को यथावत रखते हुए 300 सर्वरों पर नए एसएसएल प्रमाणपत्र में चरणबद्ध कर सकते हैं। और फिर जब आप संक्रमण के साथ कर रहे हैं, तो आधिकारिक तौर पर पुराने प्रमाण पत्र को रद्द कर दिया ताकि आप इसके साथ कर रहे हैं।

JakeGould
स्रोत
8
सर्टिफिकेट रिप्लेसमेंट प्रक्रिया के बारे में स्वचालित नहीं है - कल्पना करें कि क्या होगा यदि कोई वास्तव में आपके किसी प्रमाण पत्र को चुरा लेगा, और आपको इसे संशोधित करना होगा। क्या आप वास्तव में अपनी साइट को 10 दिनों के लिए बंद कर सकते हैं?
प्रति वॉन ज़्वीबर्गबर्ग
1
इस उत्तर के अधिकांश के लिए, आप का अर्थ है "निरस्त", "समाप्त नहीं"। प्रमाणपत्र आमतौर पर रद्द करने पर उनके जारीकर्ता द्वारा निरस्त कर दिए जाते हैं, वे समाप्त नहीं होते हैं (उनकी समाप्ति तिथि अछूती नहीं है, क्योंकि यह CRLs / OCSP / etc के लिए रिप्रोपागेट नहीं है)।
क्रिस डाउन
@ क्रिसडाउन कैच के लिए धन्यवाद। मेरा देर रात का मस्तिष्क "रद्द" में "समाप्त" हो गया। इसके बजाय "निरस्त" का उपयोग करने के लिए संपादित किया गया।
जेकगोल्ड
2
@JakeGould आप सही थे। मुझे एक नया प्रमाणपत्र जारी किया गया और उसी समय, मेरे पास पुराना एक भी सक्रिय है। यह पता चला है कि मेरे पास यह तय करने की शक्ति है कि पुराने को कब वापस करना है। मैं जब तक चाहूं दोनों को सक्रिय रख सकता हूं।
कार्तिक
@ कार्तिक हैप्पी ने आपके लिए काम किया। प्रमाण पत्र जादू नहीं हैं; वे केवल ऐसी चीजें हैं जो पहचानती हैं कि आपका सर्वर दुनिया में कौन है और इसे तृतीय पक्ष "प्राधिकरण" के माध्यम से मान्य करें। और इस तरह, आप हर समय सत्ता में हैं। अन्यथा कोई भी व्यक्ति बस बिक्री के उद्देश्यों के लिए संदेह पैदा करने की कोशिश कर रहा है। मदद करने के लिए खुश!
जेकगोल्ड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.