最近 Windows Azure Storage SSL 证书过期,这导致了很多问题。现在证书可以被任何用户检索,所以每个人都可以注意到它即将过期。
现在更换即将过期的证书的典型时间表是什么时候?是到期前一个月还是到期前一周或任何其他时间?
换句话说,假设我正在验证第三方服务证书并发现它在 N 天后过期。如果我提前一天注意到它可能为时已晚 - 我需要时间联系服务所有者,他们将需要时间重新颁发证书并更换它。如果我提前一个月注意到它——现在发出警报可能还为时过早——也许服务所有者要晚一点更换证书。
N 的值是多少,如果 SSL 证书将在 N 天后到期,服务所有者可能忘记了它的到期时间?何时更新即将过期的 SSL 证书的常见做法是什么?
最普遍的做法恐怕就是“过期了就抢着换”……
但除了 Kormoc 列出的非常有用的信息之外,我强烈建议您使用将发送警报的供应商 - 并确保这些警报发送到有人会实际查看的邮箱。如果您将其设置为公司内部的个人地址,您可能会冒着那个人正在度假或生病甚至离开公司的风险。相反,请确保您的地址是群组邮箱或可扩展到多人的邮寄列表。
如果您有任何类型的监控系统,您还可以设置一个 cron 作业,例如每周运行一次,报告到期天数,并在天数低于特定值时开始提醒您。
我是监控系统的忠实粉丝。NAGIOS 的标准插件
check_http可以检查 SSL 证书是否过期,您可以将其设置为在某个时间之前发出警告,在另一个更短的时间之前设置为 CRITICAL。所以我想我的第一条回答是不要让证书供应商或其他任何人负责通知您。拥有自己的自动化系统来执行此操作,并确保它在您确定应该执行时执行。这些时间应该设置成什么?您知道将通知转换为有效的新生成的 CSR 需要多长时间,您的证书供应商需要多长时间来处理 CSR,以及安排停机时间以在每台服务器上安装新证书需要多长时间。将这三个时间加在一起,这是生成自动通知的最短时间;一个好的 NAGIOS CRITICAL 阈值。
然后为假期、惰性等添加一个舒适的裕度,这是一个很好的警告阈值。就我而言,我为此增加了两周。
此外,如果服务失败对业务至关重要,请至少增加一周时间以避免这种情况发生。
最后一个提示,如果您只是使用低标准的 SSL 证书,并且您目前为它们支付了很多费用,请找一个更便宜的履行机构并购买期限更长的证书。不错过 SSL 证书续订的最佳方法是不要很快更新。
Comodo 在 60 天后开始提醒,http://www.instantssl.com/ssl-certificate-support/server_faq/ssl-certificate-renewals.html
GoDaddy推荐60,http://support.godaddy.com/help/article/864/renewing-your-ssl-certificate
委托推荐30,http: //www.entrust.net/ssl-technical/renew_faq.cfm
其他人似乎没有容易找到的开始推荐
普遍而言,似乎有记录表明要在 15 天标记之前续订。
一个不错的帮助脚本是
ssl-cert-check有关详细信息,请参阅文章“使用 ssl-cert-check 主动处理证书过期”
对于ubuntu,它是universe存储库的一部分。