renovación del certificado SSL y tiempo de inactividad debido a la revocación

6

Estamos en proceso de renovar un certificado SSL, principalmente para el uso forzado de SHA256. Tengo entendido que se debe emitir una nueva Solicitud de firma de certificado (CSR) para el mismo nombre de host y que se firme. Esto nos dará el nuevo certificado para importar en nuestro almacén de claves.

Sin embargo, cuando renuevo un certificado, ¿revoca INMEDIATAMENTE el certificado anterior para que nadie pueda iniciar sesión en mi sitio web hasta que el certificado recién creado se importe en mi almacén de claves? ¿Hay un tiempo de superposición durante el cual todavía puedo tener mi sitio web funcionando bajo el antiguo certificado hasta que revise el nuevo certificado, por ejemplo, a las 2 AM cuando nadie accede a mi sitio web? BTW: Mi Autoridad de Certificación (CA) es Entrust Technologies.

    
pregunta Jean-Francois Messier 16.10.2015 - 20:33
fuente

2 respuestas

7

Renovar un certificado SSL es el equivalente funcional de generar un nuevo certificado; no es una revocación, y el certificado 'antiguo' se seguirá aceptando como válido, suponiendo que aún no haya caducado. No hay ningún requisito de tiempo de inactividad / mantenimiento para su reemplazo.

Sin embargo, tenga en cuenta que debido a la SSL SHA1 Hashing Deprecation , muchas autoridades de certificación (CA) se están moviendo rápidamente para eliminar SHA1 en favor de SHA256 a finales de 2016. Esto significa que muchas CA están facilitando el "cambio de clave" del SSL existente basado en SHA1 certificados, que proporcionan una rápida regeneración del certificado SSL existente, utilizando el nuevo algoritmo de hash SHA256, generalmente con unos pocos clics. GoDaddy, un importante registrador de CA / dominio, implementa esta función a través de su servicio de CA de Starfield SSL .

Lo que a menudo no queda claro es que una nueva clave de un certificado SHA1 a un certificado SHA2 puede incluir una revocation implícita del certificado existente. El proceso subyacente en Starfield para cambiar la clave de un certificado SHA1 genera una solicitud de revocación, lo que inmediatamente hace que su certificado SSL actual no sea válido. No hay documentación o advertencia sobre este importante detalle (!). Muchos asumirán que solicitar un certificado con nueva clave es el equivalente de una renovación de certificado, cuando en realidad es una solicitud de revocación, más la generación del nuevo certificado. Imagine su sorpresa después de hacer clic en "re-key" y luego descargar el nuevo certificado, tal vez esperando una instalación posterior, y que en unas pocas horas su punto final de SSL dejará de ser válido. No es divertido. Por lo tanto, tenga mucho cuidado al volver a codificar los certificados SHA1 durante el período de transición en desuso SHA1.

Otro punto que debe tener en cuenta al migrar de certificados SHA1 a SHA2 es asegurarse de descargar e instalar la nueva cadena de certificados intermedios de CA en su almacén de claves al mismo tiempo. La migración de SHA1 a SHA256 a menudo significa que el nuevo certificado SHA256 requiere nuevas cadenas de certificados intermedias SHA256 en su almacén de claves. No hacer esto puede resultar en la invalidación del certificado base.

    
respondido por el Rodrigo M 17.10.2015 - 04:35
fuente
4

La renovación de un certificado no revocará el certificado actual, es decir, ambos pueden coexistir y son válidos. La revocación se realiza principalmente si la clave privada puede verse comprometida, es decir, si un atacante podría hacer un mal uso del certificado para autenticarse erróneamente como el sitio en cuestión.

    
respondido por el Steffen Ullrich 16.10.2015 - 20:43
fuente

Lea otras preguntas en las etiquetas