¿Está bien crear un nuevo certificado SSL antes de que caduque el anterior?

6

Durante el año pasado, he creado varios certificados SSL que son válidos por un año. En una semana más o menos, la primera caducará. Pensé que sería práctico si todos mis certificados tuvieran la misma fecha de vencimiento. De esa manera, sé que un día tengo que renovar todos los certificados; Es más fácil no cometer un error de esa manera.

Entonces, ¿está bien si ahora renovara un certificado que aún es válido por medio año aproximadamente?

¿Debo revocar el antiguo? Mis certificados eran gratuitos (a través de StartSSL), pero la revocación no lo es. Por lo que sé, nadie ha obtenido los certificados, así que ¿realmente necesito la revocación? ¿No sería suficiente mantener copias fuera de línea y no revocar los certificados?

    
pregunta Keelan 05.08.2015 - 10:26
fuente

3 respuestas

10
  

¿Está bien crear un nuevo certificado SSL antes de que caduque el anterior?

Sí. No hay nada que le impida técnicamente hacer esto. Y si usted es una empresa grande, entonces es posible que desee hacer esto en general como un seguro contra fallos de CA. Si, por ejemplo, su CA de elección es pirateada y repentinamente revoca todos sus certificados, entonces puede implementar el otro certificado (de otra CA grande) con el que se encuentra para un evento tan improbable. (Por ejemplo, si eres FaceBook, es posible que desees algo como esto).

  

Entonces, ¿está bien si ahora renovara un certificado que todavía es válido por medio año o más?

Si desea advertir a las personas que ya no usen este certificado, debe pagar la revocación.

La caducidad es la regla implícita "No usar esto más". La revocación es la regla explícita de "no usar esto más".

Ejemplo: si su servidor fue pirateado, debe considerar que la clave privada de su certificado es robada. Entonces, cualquier persona que después todavía encuentre el certificado comprometido en la naturaleza debe ser advertido.

De lo contrario (si también puede garantizar la seguridad de su archivo fuera de línea), puede dejar que el certificado expire.

Anulación de la interfaz de usuario caducada. Pero no por revocados.

Los errores de certificados caducados se muestran de forma diferente en los navegadores. Por ejemplo, Google Chrome actualmente permitirá al usuario anular manualmente una advertencia de certificado caducado . Pero NO permitirá la anulación de un certificado revocado explícitamente .

    
respondido por el StackzOfZtuff 05.08.2015 - 11:18
fuente
0

Sí, puedes hacerlo sin necesidad de revocar el antiguo siempre que tengan (ambos) el mismo nombre de dominio en ellos.

    
respondido por el user45139 05.08.2015 - 10:34
fuente
0

En general, está bien obtener un nuevo certificado antes de que caduque el anterior y no se necesite la revocación. La revocación es un proceso relativamente costoso en cuanto a infraestructura (inclusión en las CRL ampliamente distribuidas) y normalmente solo se debe utilizar cuando existe una razón para creer que la clave privada está comprometida.

Lamentablemente, startssl no emitirá un nuevo certificado con el mismo nombre común y el mismo nivel de validación a menos que el anterior sea revocado o esté a punto de caducar. Puede solucionar esto en sus niveles pagados emitiendo un certificado con un nombre común diferente y el nombre que realmente deseaba como nombre alternativo, pero no lo permiten en su nivel gratuito.

No veo ninguna razón legítima para este comportamiento más que como una forma de empujar a los usuarios de nivel gratuito a pagarles dinero.

    
respondido por el Peter Green 14.11.2015 - 16:44
fuente

Lea otras preguntas en las etiquetas