Macht das erneute Ausstellen eines SSL-Zertifikats das zuvor ausgestellte Zertifikat ungültig?

15

Ich habe die Funktion "Zertifikat neu ausstellen" bei einem SSL-Zertifikatsanbieter (RapidSSL, FWIW) verwendet, um ein neues Zertifikat zu erhalten. Dabei habe ich einen neuen privaten Schlüssel und eine neue Passphrase erstellt und verwendet.

Führt die erneute Ausstellung dieses Zertifikats dazu, dass das zuvor ausgestellte Zertifikat ungültig wird? Wenn ja, wie lange dauert das?

ssl  certificate  revoked 
Cooper
quelle
1
Wenn ein Zertifikat erneut ausgestellt wird, sind die Benutzer von dem ungültigen Zertifikat betroffen, bevor ich meine Server aktualisieren kann?
Coderama

Antworten:

9

Nicht automatisch für RapidSSL. Bei anderen Anbietern und / oder Zertifikatklassen kann dies automatisch erfolgen.

RapidSS macht ein Zertifikat nicht automatisch ungültig, wenn es gemäß der Certificate Practice Statement neu ausgestellt wird . Dies hängt davon ab, wie viel Sie für das Zertifikat bezahlen.

In Abschnitt II.B.5 des derzeit in Google verfügbaren CPS :

GeoTrust widerruft kein Zertifikat, das zuvor nach einer Rückerstattungs- oder Neuausstellungsanforderung ausgestellt wurde. Ein Antrag auf Rückerstattung oder Neuausstellung eines Zertifikats wird vom Abonnenten nicht als Antrag auf Widerruf eines zuvor von GeoTrust ausgestellten Zertifikats behandelt, es sei denn, der Abonnent befolgt die in Abschnitt III.I angegebenen Verfahren zum Beantragen des Widerrufs. dieses CPS.

In Abschnitt III.I heißt es:

Der Zertifikatswiderruf ist der Vorgang, bei dem GeoTrust die Betriebszeit eines Zertifikats vorzeitig beendet, indem die Seriennummer des Zertifikats in eine Zertifikatswiderrufsliste eingetragen wird. Ein Abonnent muss GeoTrust informieren und umgehend den Widerruf eines Zertifikats beantragen:

  • wenn sich Informationen auf dem Zertifikat ändern oder veralten; oder
  • wann immer der mit dem Zertifikat verbundene private Schlüssel oder der Datenträger, auf dem sich der private Schlüssel befindet, gefährdet ist; oder
  • bei einem Eigentümerwechsel des Webservers eines Abonnenten. Der Abonnent hat die Gründe für den Antrag auf Widerruf bei der Übermittlung des Antrags anzugeben.

Andernorts verspricht es nur minimal, dass widerrufene Zertifikate mindestens einmal pro Woche zur CRL hinzugefügt werden.

Das Lesen des Certificate Practice Statement eines Käufers von SSL-Zertifikatdiensten ist eine gute Sache für einen Käufer.

David Bullock
quelle
3

Ja, sie werden das alte Zertifikat widerrufen.

Die Art und Weise, wie SSL-Widerrufe funktionieren, besteht darin, dass der Anbieter innerhalb des Zertifikats eine URL platziert, unter der der Client (z. B. Browser) überprüfen soll, ob das Zertifikat noch gültig ist (als CRL bezeichnet).

Es gibt also keine eindeutige Antwort darauf, es hängt vom Kunden ab. In einigen Fällen, wie in diesem Artikel , wird darauf hingewiesen , dass es überhaupt nicht überprüft wird.

Jay
quelle
Es ist nicht automatisch, dass der Zertifikatsaussteller die alten Zertifikate auf eine CRL legt.
David Bullock
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.