最近 Windows Azure 存储 SSL 证书已过期这会导致很多问题。现在任何用户都可以检索该证书,因此每个人都会注意到它即将过期。
现在更换即将过期的证书的典型时间范围是什么时候?是过期前一个月还是过期前一周还是其他时间?
换句话说,假设我正在验证第三方服务证书,并发现它将在 N 天内过期。如果我提前一天注意到这一点,可能就太晚了——我需要时间联系服务所有者,他们也需要时间重新颁发证书并更换它。如果我提前一个月注意到这一点——发出警报可能还为时过早——也许服务所有者稍后会更换证书。
N 的值是多少,如果 SSL 证书将在 N 天内过期,服务所有者很可能忘记了证书过期?何时更新即将过期的 SSL 证书的常见做法是什么?
答案1
Comodo 在 60 天后开始发出警报,http://www.instantssl.com/ssl-certificate-support/server_faq/ssl-certificate-renewals.html
GoDaddy 建议 60,http://support.godaddy.com/help/article/864/renewing-your-ssl-certificate
Entrust 建议 30,http://www.entrust.net/ssl-technical/renew_faq.cfm
其他人似乎没有容易找到的开始建议
普遍的记录似乎都是在 15 天之前进行续约。
答案2
最常见的做法恐怕就是“过期了就抢着去换”了……
但是除了 Kormoc 列出的非常有用的信息之外,我强烈建议您使用可以发送警报的供应商 - 并确保这些警报发送到有人会实际查看的邮箱。如果您将其设置为公司内部的个人地址,则可能会有该人正在休假或生病甚至已经离开公司的风险。相反,请确保您的地址是群组邮箱或扩展到多个人的邮件列表。
如果您有任何类型的监控系统,您还可以设置一个 cron 作业,例如每周运行一次,报告到期天数,并在天数低于某个值时开始提醒您。
答案3
我非常喜欢监控系统。NAGIOS 的标准插件check_http可以检查 SSL 证书是否过期,您可以将其设置为在某个时间之前发出警告,并在更短的时间之前发出关键警告。所以我想我的第一个答案是不要让证书供应商或任何其他人负责通知您。拥有自己的自动化系统来执行此操作,并确保在您确定应该执行时执行此操作。
这些时间应该设置为多少?您知道将通知转换为有效的新 CSR 需要多长时间,您的证书供应商需要多长时间来转换 CSR,以及您需要多长时间来安排停机时间以在每个服务器上安装新证书。将这三个时间加在一起,这就是生成自动通知的最短时间;一个很好的 NAGIOS CRITICAL 阈值。
然后加上假期、惯性等的舒适余地,这就是一个好的警告阈值。就我而言,我为此增加了两周。
此外,如果服务故障对业务至关重要,则至少要延长一周的时间来避免这种情况的发生。
最后一条建议是,如果您只是使用标准 SSL 证书,并且目前为此花费很多,请找一家更便宜的履行机构并购买期限较长的证书。避免错过 SSL 证书续订的最佳方法是不要在近期进行续订。