Назад | Перейти на главную страницу

Срок действия сертификата истек - как избежать предупреждения об истечении срока действия сертификата

У нас был сертификат, выданный Verisign, и мы дали ему истечь, поскольку он нам больше не нужен.

Клиенты, добавившие веб-сайт в закладки с URL-адресом https: //, получают предупреждение «Срок действия сертификата истек». Некоторые из наших документов могут также ссылаться на несуществующий URL.

Можно ли как-нибудь обойтись без этого предупреждения? В идеале мы хотели бы просто перенаправить их на обычную http: // версию веб-сайта.

Предупреждение об истечении срока действия сертификата является чисто клиентским, поэтому единственное, что вы можете порадовать клиентские браузеры, - это предоставить им сертификат, который им нравится. Вы ничего не можете сделать, кроме как выставить действительный сертификат, иначе клиенты будут отображать сообщения об ошибках. Даже если вы установите перенаправление, браузер будет ожидать согласования SSL до получения перенаправления (и покажет пользователю сообщение об ошибке, если вы представляете недействительный сертификат).

Это протокол, работающий по замыслу. Кто-то может возразить, что протокол должен был быть разработан так, чтобы разрешить режим «Этот ресурс больше не нуждается в SSL» именно для той ситуации, которую вы описываете, но это не так.

Хотя реальный ответ заключается в том, что у вас должен быть действующий сертификат, как уже упоминалось, альтернативой является отсутствие перенаправления и отключение ssl на сервере для этого ip. Таким образом вы получите сообщение об ошибке «Стандартный сайт браузера не найден», а не о плохом сертификате. Это все равно будет ошибкой, но в некоторых случаях может оказаться более полезной.

Я согласен с ответом Эвана Андерсона, но есть способ обойти это.

Вы можете создать свой собственный самоподписанный сертификат с помощью java keytool для создания нового хранилища ключей Apache / Tomcat. Это сложно, но это сработает. Пользователю будет представлен сертификат из неизвестного источника (вы), но вы можете просто импортировать сертификат и доверять ему. Тогда с этого момента вам не будет выдаваться недействительный сертификат на основании истекшей даты.

Есть ли причина не продлевать сертификат?

Возможно, вы не хотите, чтобы клиент использовал сайт https, но, как вы сказали, они все еще используются.

Вы можете получить дешевый сертификат SSL от GoDaddy менее чем за 50 долларов.

Есть и другие даже дешевле параметры.

Как писал Эван Андерсон, ваши пользователи, вероятно, по-прежнему будут получать предупреждение в своем браузере. На Apache перенаправление должно выглядеть примерно так:

Options +FollowSymlinks
RewriteEngine on
RewriteCond %{SERVER_PORT} ^443$
RewriteRule ^(.*)$ http://www.domain.com/$1 [R=301,L]