SSL证书提供者正在从使用1024位RSA密钥签名的证书移动到新的2048位RSA密钥标准。 一篇文章解释了这个问题的背景和意义 ; 也是VeriSign有关迁移的文章 。
对于我们特定的Web应用程序,我们有数百个客户系统通过HTTPS和HTTPS POSTs通过SOAP API调用连接到我们的系统。 第二个问题是浏览到HTTPS URL的最终用户。 对于最终用户,从VeriSign 1024位证书升级到新的2048位证书不应该产生巨大的影响,因为大多数浏览器/操作系统都会信任新的根CA. 连接到我们的传统系统是一个不同的故事,发展到10年前,他们在各种硬件和操作系统风格,并有不同的证书pipe理策略。 如果他们不信任新的根CA,他们的影响是灾难性的,因为他们多年来没有问题的系统会突然停止工作。 修复很简单,但需要pipe理员在其服务器上应用。
其他组织如何处理这个问题?
证书颁发机构系统的一个特点是事物发生了变化。 根源到期,新的根源出现,证书被吊销,根源妥协后破产。 更新机制确实需要处理这些变化。
还有第三个选项可用,那就是使用不同的 CA,提供与10年前的权威机构签署的2K证书。 这不是Verisign,但可能是像Thawte这样的人。
如果certificate不可行,则需要使用混合解决scheme。 提供一个testing网站,提供您为客户validation的新的CA,并提供足够的通知,证书将发生变化,并将打破高达25%的客户。 按照您的想法构build尽可能多的更新文档,并在客户遇到问题时构build更多的文档。 强调更新CA信息是所有系统偶尔需要做的事情,因此从长远来看logging这是一件好事。 这是一个最好的做法。
你需要一个选项2 + 1。 您需要设置一个testing/备用站点,并提供一个新的证书供人们使用。 他们永远不会知道他们是否拥有特定的根,而不需要大量的工作,但是他们的数据处理组中的任何人员都可能testing新的问题链接。
给人一个时间表,直到新的证书必须到位,因为硬性的更新date,并提供帮助,如你所build议的。 警告他们,在过去的几周里,这些帮助将会受到限制,因为你没有1000个人坐在这里,希望他们本周能够上class。 😉
没有困难的date,人们不会轻易的进行testing,大多数人不会费心testing,看看是否受到了变化的影响。
如果您可以将备用站点作为生产工作,那么您可以永久地将其迁移到那里,并从旧服务器上的日志中了解有多less客户端仍然不符合要求。
正如你所说,有2个选项。
我会为备选scheme2做好准备,并尽早与您的技术支持人员一起向您的客户公布这一更改。
如果你知道你的客户的遗留系统的ips,你可以做一些技巧,这将帮助你在逐客户的基础上进行迁移,而不是在第十天为每个人做一个艰难的改变。