La réémission d'un certificat SSL invalide-t-elle le certificat émis précédemment?

15

J'ai utilisé la fonctionnalité "réémettre le certificat" chez un fournisseur de certificats SSL (RapidSSL, FWIW) pour obtenir un nouveau certificat - ce faisant, j'ai créé et utilisé une nouvelle clé privée et une phrase de passe.

La réémission de ce certificat entraînera-t-elle la nullité du certificat émis précédemment? Si oui, combien de temps cela prend-il?

ssl  certificate  revoked 
Tonnelier
source
1
Si un certificat est réémis, avant de pouvoir mettre à jour mes serveurs, les utilisateurs seront-ils affectés par le certificat invalidé?
Coderama

Réponses:

9

Pas automatiquement, pour RapidSSL. Pour d'autres fournisseurs et / ou grades de certificat, cela peut être automatique.

RapidSS n'invalide pas automatiquement un certificat lors de sa réémission, conformément à leur déclaration de pratique de certificat . Ce serait une fonction de combien vous payez pour le certificat.

Dans la section II.B.5 du CPS actuellement compatible avec Google :

GeoTrust ne révoquera pas un certificat précédemment émis suite à une demande de remboursement ou de réémission. Une demande de remboursement ou de réémission d'un certificat ne sera pas traitée comme une demande par l'abonné de révocation d'un certificat précédemment émis par GeoTrust, à moins que l'abonné ne suive les procédures de demande de révocation énoncées à la section III.I. de ce CPS.

Dans la section III.I, il est écrit:

La révocation de certificat est le processus par lequel GeoTrust met fin prématurément à la période opérationnelle d'un certificat en affichant le numéro de série du certificat dans une liste de révocation de certificats. Un abonné doit informer GeoTrust et demander rapidement la révocation d'un certificat:

  • chaque fois que l'une des informations sur le certificat change ou devient obsolète; ou
  • chaque fois que la clé privée ou les supports détenant la clé privée associés au certificat sont compromis; ou
  • en cas de changement de propriétaire du serveur Web d'un abonné. L'abonné doit indiquer la ou les raisons de la demande de révocation lors de la soumission de la demande.

Ailleurs, il promet au minimum que les certificats révoqués seront ajoutés à la liste de révocation de certificats «au moins une fois par semaine».

La lecture de l'énoncé des pratiques de certification de tout acheteur de services de certificats SSL est une bonne chose pour un acheteur.

David Bullock
source
3

Oui, ils révoqueront l'ancien certificat.

La façon dont les révocations SSL fonctionnent est que, dans le certificat, le fournisseur place une URL où le client (par exemple le navigateur) doit vérifier si le certificat est toujours valide (appelé CRL).

Il n'y a donc pas de réponse dure et rapide à cela, cela dépend du client. Dans certains cas, comme cet article , il suggère qu'il ne sera pas vérifié du tout.

Geai
source
Ce n'est pas automatique que l'émetteur du certificat place les anciens certificats sur une liste de révocation de certificats.
David Bullock
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.