我们有一个由 GoDaddy 颁发的通配符证书即将更新,我想使用另一家公司(尚未选择)。通配符证书在几个服务器上的十几个站点上使用。在新机构颁发证书与我们可以在所有这些站点和服务器上安装证书之间会有几个小时的间隔。在那段时间里,我们的用户会注意到什么吗,例如,
- “站点不安全”类型的警告
- 站点完全无法运行(它们是 Windows/IIS 站点)。
我想知道,例如,新的权威机构是否向 GoDaddy 发布了一些东西,使 GoDaddy 撤销了他们存档的我们的证书。或者,Web 浏览器是否会发现已安装的证书与新颁发的证书不匹配,从而导致问题。
只要验证域的系统日期在其有效期不早于和不晚于日期之间,证书将有效,链中的所有其他证书均有效,并且颁发者未采取措施撤销证书他们可以使用的 CRL 或 OCSP 选项(最常见的原因是伪造或安全问题,例如私钥被泄露)。显然,域必须匹配。发行新的不会影响这一点。
实际上,您可以在当前证书的到期日期之前申请新证书,并在该时间点之前开始更改证书,以便尽可能减少服务中断。如果您等待到期以继续续订,如果没有被浏览器上的安全设置(如 HSTS 或其他安全机制)完全阻止,服务将显示不安全的注释。
与证书续订相关的自动化工具,如acme.sh或 WHM 中的 Let's Encrypt 模块,通常会在到期前 1 个月完成工作,因此缓存和其他功能也不会影响续订过程。
不,从另一个 CA 获取新证书与旧证书绝对无关。