A reemissão de um certificado SSL invalida o certificado emitido anteriormente?

15

Usei a funcionalidade "reemitir certificado" em um fornecedor de certificados SSL (RapidSSL, FWIW) para obter um novo certificado - ao fazer isso, criei e usei uma nova chave privada e frase secreta.

A reemissão deste certificado fará com que o certificado emitido anteriormente se torne inválido? Se sim, quanto tempo isso leva?

ssl certificate revoked Tanoeiro
fonte
1
Se um certificado for reemitido, antes que eu possa atualizar meus servidores, os usuários serão afetados pelo certificado invalidado?
Coderama

Respostas:

9

Não automaticamente, para RapidSSL. Para outros fornecedores e / ou graus de certificado, pode ser automático.

O RapidSS não invalida automaticamente um certificado quando ele é reemitido, de acordo com sua Declaração de Prática de Certificado . Isso seria uma função de quanto você paga pelo certificado.

Na seção II.B.5 do CPS atualmente disponível no Google :

A GeoTrust não revogará um certificado emitido anteriormente após uma solicitação de reembolso ou reemissão. Uma solicitação de reembolso ou reemissão de um Certificado não será tratada como uma solicitação do Assinante para revogação de um Certificado anteriormente emitido pela GeoTrust, a menos que o Assinante siga os procedimentos para solicitar a revogação, conforme estabelecido na Seção III.I. deste DPC.

Na seção III.I, diz:

A revogação de certificado é o processo pelo qual o GeoTrust encerra prematuramente o período operacional de um certificado, lançando o número de série do certificado em uma lista de revogação de certificados. Um Assinante deve informar a GeoTrust e solicitar imediatamente a revogação de um Certificado:

  • sempre que alguma das informações do certificado for alterada ou ficar obsoleta; ou
  • sempre que a chave privada ou a mídia que detém a chave privada associada ao certificado estiver comprometida; ou
  • mediante uma alteração na propriedade do servidor da web de um Assinante. O Assinante deve indicar o (s) motivo (s) para solicitar a revogação ao enviar a solicitação.

Em outros lugares, promete minimamente que os certificados revogados sejam adicionados à LCR 'pelo menos uma vez por semana'.

Ler a Declaração de Prática de Certificado de qualquer comprador de serviços de certificado SSL é uma coisa boa para um comprador.

David Bullock
fonte
3

Sim, eles revogarão o certificado antigo.

A maneira como as revogações de SSL funcionam é que, dentro do certificado, o fornecedor coloca uma URL na qual o cliente (por exemplo, navegador) deve verificar se o certificado ainda é válido (chamado de CRL).

Portanto, não há uma resposta fácil e rápida para isso, depende do cliente. Em alguns casos, como este artigo , sugere que não será verificado.

Jay
fonte
Não é automático que o emissor do certificado coloque os certificados antigos em uma CRL.
precisa