问题
SSL 证书提供商正在从使用 1024 位 RSA 密钥签名的证书转向新的 2048 位 RSA 密钥标准。一篇文章解释此举可能引发的问题的背景和重要性;也是一个文章来自 VeriSign关于迁移。
对于我们的特定 Web 应用程序,我们有数百个客户系统通过 HTTPS 上的 SOAP API 调用和 HTTPS POST 连接到我们的系统。次要问题是浏览 HTTPS URL 的最终用户。对于最终用户,从 VeriSign 1024 位证书升级到新的 2048 位证书不会产生巨大影响,因为大多数浏览器/操作系统都会信任新的根 CA。连接到我们的旧系统则是另一回事,它们开发于 10 年前,采用各种硬件和操作系统,并具有不同的证书管理策略。如果他们不信任新的根 CA,影响将是灾难性的,因为他们多年来一直运行良好的系统将突然停止工作。修复很简单,但需要管理员在他们的服务器上应用。
潜在解决方案
- 尽可能地推迟升级(棘手的是,证书将在明年到期,并且没有信誉良好的提供商颁发 1024 位证书。)
- 联系每个客户并指导他们完成升级过程(可能但很困难,因为最初实施的技术联系人可能不再存在)
其他组织如何处理这个问题?
答案1
证书颁发机构系统的一个特点是事情会发生变化。根证书会过期,新根证书会诞生,证书会被吊销,根证书在受到攻击后会失效。确实需要建立更新机制来处理这些变化。
还有第三种选择,那就是使用不同的提供 2K 证书的 CA,该证书由大约 10 年前的某个机构签署。这不是 Verisign,但可能是 Thawte 之类的机构。
如果这不可行,你需要采用混合解决方案。提供一个测试站点,其中包含你为客户挑选的新 CA,以供验证,并提供充足请注意,证书将发生变化,并将影响多达 25% 的客户端。尽可能多地构建更新文档,并在客户端遇到问题时构建更多文档。强调更新 CA 信息是所有系统都需要不时执行的操作,因此从长远来看,记录这一点是一件好事;这是最佳实践。
答案2
您需要一个 2+1 选项。您需要设置一个带有新证书的测试/备用站点,以便人们进行资格审查。如果不做大量工作,他们永远不会知道他们是否拥有您的特定根,但他们数据处理组中的几乎任何人都可以测试新链接是否存在问题。
由于续订日期已到,请向人们提供新证书必须到位的时间表,并按照您的建议提供帮助。警告他们,由于您没有 1000 人只是坐在那里希望他们本周能开始工作,所以最后几周的帮助将是有限的。;-)
如果没有确定的日期,人们就不会采取行动;如果没有简单的测试,大多数人也不会费心去测试他们是否受到变化的影响。
如果您可以让备用站点正常运行,那么您可以将人员永久地转移到那里,并从旧服务器上的日志中了解有多少客户端仍然不合规。
答案3
正如您所说,有两个选择。
我会为选项 2 做好准备,并结合您的技术协助,尽早向您的客户宣布这一变化……
如果您知道客户遗留系统的 IP,您可以采取一些技巧,这将有助于您根据每个客户进行迁移,而不是在 X 天为每个人进行硬性改变。