Смена закрытого ключа при продлении сертификата SSL

Question

Смена закрытого ключа при продлении сертификата SSL

Что происходит с ранее подключенными браузерами при обновлении сертификата новым закрытым ключом? Будет ли старый сертификат кэшироваться и запросы будут зашифрованы неправильно? Можно ли вообще запустить несколько серверов с балансировкой нагрузки на уровне 4, при этом у некоторых из них будут новые, а у других старые сертификаты, не вызывая сбой соединений при условии, что не используются липкие сеансы?

1

ssl ssl-certificate load-balancing renewal

Источник

user350428 31 мар '16 в 10:56

1 ответ

Решение

Другие вопросы по тегам ssl ssl-certificate load-balancing renewal

user150978 31 мар '16 в 11:06 2016-03-31 11:06 · Accepted Answer · 2016-03-31 11:06

Клиенты обычно не кэшируют сертификаты SSL/TLS. Только если вы используете клиент "Расширение связывания с открытым ключом для HTTP (HPKP)", выполняйте кеширование и проверку предоставленного сертификата (или, если быть точным, определенных свойств этого сертификата). Для изменения сертификата HPKP может "разрешить" несколько сертификатов (например, один старый и один новый).

Относительно балансировщика нагрузки: если они работают на уровне 4 OSI, я предполагаю, что они работают на уровне TCP. Поэтому каждый сервер за балансировщиком устанавливает свой собственный сеанс SSL/TLS. Если сеансы не распределяются между серверами, не должно быть проблемного события, если не все серверы используют один и тот же сертификат - если все сертификаты действительны. Клиенты могут предоставить идентификатор сеанса SSL/TLS при запуске соединения SSL/TLS, но сервер решает, известен ли сеанс или нет. Поэтому, если клиент ссылается на сеанс с другого сервера, ничего плохого не происходит, клиент и сервер просто устанавливают новый сеанс.