我们有一个 GoDaddy 颁发的通配符证书即将续订,我想使用其他公司(尚未选定)。通配符证书已在几个服务器上的十几个站点上使用。新颁发机构颁发证书和我们可以在所有这些站点和服务器上安装证书之间会有几个小时的间隔。在此期间,我们的用户会注意到什么吗?例如,
- “站点不安全”类型的警告
- 网站彻底无法运行(它们是 Windows/IIS 网站)。
我想知道,例如,新机构是否会向 GoDaddy 发布一些内容,导致 GoDaddy 撤销他们存档的我们的证书。或者,Web 浏览器会发现已安装的证书与新颁发的证书不匹配,从而导致问题。
答案1
只要验证域名的系统日期在其有效期内,证书就有效不早于和不之后日期,链中的所有其他证书均有效,并且颁发者尚未采取行动通过其可用的 CRL 或 OCSP 选项撤销证书(最常见的原因是伪造或安全问题,例如私钥被泄露)。显然,域名必须匹配。颁发新域名不会影响这一点。
您实际上可以在当前证书的到期日期之前申请新证书,并提前开始更改证书,以便将服务中断降至最低。如果您等到到期后再进行续订,如果浏览器上的安全设置(如 HSTS)或其他安全机制没有完全阻止,服务将显示不安全提示。
与证书更新相关的自动化工具,例如acme.sh或者 WHM 中的 Let's Encrypt 模块通常会在到期前 1 个月完成其工作,以便缓存和其他功能也不会影响续订过程。
答案2
不,从另一个 CA 获取新证书与旧证书绝对无关。