最近Windows Azure存储SSL证书过期,并导致很多问题。 现在,证书可以被任何用户检索,所以每个人都可能已经注意到它将会过期。
现在替代即将到期的证书的典型时间是什么? 是到期前一个月还是到期前一个星期或者其他时间?
换句话说,假设我正在validation第三方服务证书,并看到它在N天内过期。 如果我提前一天注意到它,可能为时已晚 – 我需要时间与服务负责人联系,他们需要时间重新签发证书并进行更换。 如果我提前一个月注意到这个问题,现在可能还没有发出警报,可能服务所有者即将在稍后更换证书。
N的价值是什么,如果SSL证书即将在N天内过期,服务所有者可能已经忘记了其到期? 何时更新即将过期的SSL证书的常见做法是什么?
Comodo在60天开始提醒, http://www.instantssl.com/ssl-certificate-support/server_faq/ssl-certificate-renewals.html
GoDaddy推荐60, http://support.godaddy.com/help/article/864/renewing-your-ssl-certificate
Entrustbuild议30, http: //www.entrust.net/ssl-technical/renew_faq.cfm
其他人似乎没有轻松find开始build议
通常情况下,似乎要logging在15天之前更新。
恐怕最常见的做法是“争先恐后地更换它”…
但除了Kormoc列出的非常有用的信息之外,我还强烈build议您使用发送警报的供应商,并确保将这些警报发送到某个人将实际观看的邮箱。 如果您将其设置为公司内部的个人地址,则可能导致该人正在度假或生病,甚至离开公司。 相反,请确保您的地址是组邮箱或扩展到多个人的邮件列表。
如果您有任何types的监控系统,还可以设置一个cron作业,例如每周一次报告要到期的天数,并在天数降到某个值以下时开始提醒您。
我是监控系统的忠实粉丝。 NAGIOS的标准插件check_http有一个SSL证书过期的检查,你可以设置警告一段时间之前,而关键另一个,更短的时间之前。 所以我想我的第一个答案是不要让证书供应商或其他人负责通知你。 有你自己的自动化系统,并确保它确实应该完成。
这些时间应该设置什么? 您知道将通知变成一个有效的新CSR,多长时间您的证书供应商需要转换CSR,以及您需要多长时间安排停机时间以获取每个服务器上安装的新证书。 把这三个时间加在一起,这是生成自动通知的最低时间。 一个好的NAGIOS CRITICAL阈值。
然后为假期,惯性等添加一个舒适的余量,这是一个很好的警告阈值。 在我的情况下,我加了两个星期。
另外,如果服务的失败对业务至关重要,那么至less要多加一周来避免这种情况的发生。
作为最后一个提示,如果您只使用了bog标准的SSL证书,而且您目前正在为此付出很多代价,那么您可以找一个更便宜的执行部门来购买更长期的证书。 不要错过SSL证书更新的最好方法是不要马上出现。
一个不错的帮手脚本是ssl-cert-check
请参阅文章“主动处理ssl-cert-check的证书过期”以获取更多信息
对于Ubuntu,它是宇宙存储库的一部分。