SSL証明書の更新と失効によるダウンタイム
現在、主にSHA256を強制的に使用するために、SSL証明書を更新しています。同じホスト名に対して新しい証明書署名要求(CSR)を発行し、署名する必要があることは私の理解です。これにより、キーストアにインポートする新しい証明書が提供されます。
ただし、証明書を更新すると、古い証明書がすぐに取り消されるので、新しく作成した証明書がキーストアにインポートされるまで誰も私のWebサイトにログオンできませんか?新しい証明書に切り替えるまで、たとえば午前2時に、誰も私のWebサイトにアクセスしていないときに、古い証明書でWebサイトを実行できるオーバーラップ時間はありますか?ところで:私の証明機関(CA)はEntrust Technologiesです。
SSL証明書の更新は、新しい証明書の生成と機能的に同等です。それは失効ではなく、「古い」証明書は、有効期限が切れていない場合、引き続き有効として受け入れられます。交換のためのダウンタイム/メンテナンスウィンドウの要件はありません。
ただし、 SSL SHA1 Hashing Deprecation のため、多くの認証局(CA)は、2016年末までにSHA256を優先してSHA1を段階的に廃止することに移行しています。これは、多くのCAが既存のSHA1ベースのSSL証明書を「再キー」し、通常は数回のクリックで新しいSHA256ハッシュアルゴリズムを使用して、既存のSSL証明書をすばやく再生成します。主要なCA /ドメインレジストラーであるGoDaddyは、 Starfield SSL CAサービス を介してこの機能を実装しています。
SHA1証明書のSHA2証明書への再キーには、暗黙的なrevocation既存の証明書の。 SHA1証明書のキーを再生成するStarfieldの基本プロセスは、失効リクエストを生成し、現在のSSL証明書をすぐに無効にします。この重要な詳細(!)に関するドキュメントや警告はありません。多くの人は、鍵の再発行された証明書の要求が証明書の更新に相当すると想定しますが、実際にはそれは失効要求であり、plus新しい証明書の生成です。 「re-key」をクリックして新しい証明書をダウンロードした後、おそらく後でインストールされるのを待って、数時間以内にSSLエンドポイントが無効になることを想像してみてください。楽しくない。したがって、SHA1のサポート終了移行期間中は、SHA1証明書の鍵の再作成に十分注意してください。
SHA1証明書からSHA2証明書に移行するときに注意すべきもう1つのポイントは、新しいCA中間証明書チェーンを確実にダウンロードして、同時にキーストアにインストールすることです。 SHA1からSHA256への移行は、多くの場合、新しいSHA256証明書がキーストアに新しい中間SHA256証明書チェーンを必要とすることを意味します。これを行わないと、基本証明書が無効になる可能性があります。
証明書を更新しても、現在の証明書は取り消されません。つまり、共存可能であり、有効です。取り消しは、秘密鍵が危険にさらされている可能性がある場合、つまり攻撃者が証明書を悪用して、問題のサイトとして自分自身を誤って認証した場合に、ほとんど行われます。