Недавно истек срок действия SSL-сертификата хранилища Windows Azure и это вызывает множество проблем. Теперь сертификат может получить любой пользователь, и каждый мог заметить, что срок его действия истекает.
Каковы типичные сроки замены сертификата, срок действия которого скоро истекает? За месяц до истечения срока, за неделю до истечения или в любое другое время?
Другими словами, предположим, что я проверяю сертификат сторонней службы и вижу, что срок его действия истекает через N дней. Если я замечаю это за день до этого, может быть уже слишком поздно - мне нужно время, чтобы связаться с владельцем службы, и им потребуется время для перевыпуска сертификата и его замены. Если я замечаю это за месяц вперед - может быть, слишком рано бить тревогу - возможно, владелец сервиса собирается заменить сертификат чуть позже.
Какое значение N такое, что если срок действия SSL-сертификата истекает через N дней, вероятно, владелец службы забыл об истечении срока его действия? Как обычно обновляется сертификат SSL с истекающим сроком действия?
Я большой поклонник систем мониторинга. Стандартный плагин NAGIOS check_http
есть проверка на истечение срока действия сертификата SSL, и вы можете установить, что это будет ПРЕДУПРЕЖДЕНИЕ на определенное время до и КРИТИЧЕСКОЕ другое, более короткое время до. Итак, я предполагаю, что первая часть моего ответа - не позволять поставщику сертификата или кому-либо еще нести ответственность за уведомление вас. Имейте свою собственную автоматизированную систему, которая делает это, и убедитесь, что она делает это, когда вы решите, что это должно быть сделано.
На что следует установить эти времена? Вы знаете, сколько времени нужно, чтобы превратить уведомление в действительный недавно созданный CSR, сколько времени потребуется вашим поставщикам сертификатов, чтобы вернуть CSR, и сколько времени потребуется, чтобы запланировать время простоя для установки нового сертификата на каждом сервере. Сложите эти три раза вместе, и это самый минимум времени для создания автоматического уведомления; хорошее пороговое значение NAGIOS CRITICAL.
Затем добавьте удобный запас на праздники, инерцию и т. Д., И это хороший уровень ПРЕДУПРЕЖДЕНИЯ. В моем случае я добавляю на это две недели.
Кроме того, если сбой в обслуживании будет критичным для бизнеса, добавьте как минимум дополнительную неделю, чтобы этого не произошло.
И в качестве последнего совета: если вы просто используете стандартные SSL-сертификаты и в настоящее время платите за них много, найдите более дешевую службу выполнения и вместо этого купите сертификаты с более длительным сроком действия. Лучший способ не пропустить продление SSL-сертификата - это не делать его в ближайшее время.
Боюсь, что наиболее распространенной практикой является «попытка заменить его, когда срок его действия уже истек» ...
Но в дополнение к очень полезной информации, указанной Kormoc, я настоятельно рекомендую вам использовать поставщика, который будет рассылать предупреждения - и убедиться, что эти предупреждения отправляются в почтовый ящик, который кто-то действительно будет смотреть. Если вы установите его на личный адрес внутри компании, вы рискуете, что этот человек окажется в отпуске, заболеет или даже уволится из компании. Вместо этого убедитесь, что у вас есть адрес, который является либо почтовым ящиком группы, либо списком рассылки, который расширяется до нескольких человек.
Если у вас есть какая-либо система мониторинга, вы также можете настроить запуск задания cron, например один раз в неделю, который сообщает о количестве дней до истечения срока действия и начинает предупреждать вас, когда количество дней падает ниже определенного значения.
Comodo начинает оповещение через 60 дней, http://www.instantssl.com/ssl-certificate-support/server_faq/ssl-certificate-renewals.html
GoDaddy рекомендует 60, http://support.godaddy.com/help/article/864/renewing-your-ssl-certificate
Entrust рекомендует 30, http://www.entrust.net/ssl-technical/renew_faq.cfm
У других, похоже, нелегко найти начальную рекомендацию
Вообще, кажется, документально подтверждено, что продлевать до 15-дневной отметки.
Хороший вспомогательный сценарий ssl-cert-check
См. Статью «Упреждающая обработка истечения срока действия сертификата с помощью ssl-cert-check» для получения дополнительной информации
Для убунту это часть вселенная репозитории.