iT邦幫忙

0

關於 SSL 續約安裝問題

1.csr 檔是否可延用舊有的, 直接用舊的去ssl 服務商產生新的server.crt 跟 ca.crt。
(之前續約都乖乖的重新產生,今天同事問我是否可延用,上來看有沒有前輩知道)
2.通當ssl續約都可以提前購買,然後會有新的到期日,我的問題是如果我在舊的ssl到期前安裝,是否會影響到現在新的ssl規定,不能有超過398天的憑證。
https://blog.cloudmax.com.tw/ssl-apple-safari-policy/

你有看到這段嗎0.0a
---
為了配合瀏覽器政策的調整,憑證中心從 8 月 31 日起,所有新核發或是重新核發的 SSL 數位憑證,最長有效期將調整為 397 天。需特別說明的是,瀏覽器政策是針對 9 月 1 日後才頒發的 SSL 數位憑證,在這之前取得的 SSL 數位憑證不受影響。
----
在這之前取得的 SSL 數位憑證不受影響。
混水摸魚 iT邦研究生 5 級 ‧ 2021-01-21 17:56:23 檢舉
@純真的人 這段有看到,因為我買的時候平台商已經有提到說雖然是兩年期憑證,但一年後要重新更新憑證,所以才有這些疑問產生。

1 個回答

3
raytracy
iT邦大神 1 級 ‧ 2021-01-21 17:28:23
最佳解答

從 PKCS#10 版開始, CSR 裡面就沒有到期日的欄位了, 理論上可以...

但是, 所有的憑證業者都強烈建議你, 重新產出 CSR, 且更換 Private Key:
https://www.geocerts.com/support/do-i-need-a-new-csr-to-renew-my-ssl-certificate

https://security.stackexchange.com/a/131192

因為我們無法保證:
經過這麼長的時間, 你的 Private Key 是否已經外洩? 如果你繼續沿用舊的 CSR, 代表一定要用舊的 Private Key 才能安裝新憑證, 萬一他已經外洩被惡意取得的話, 那是非常危險的事情....

定期更換憑證的 Private Key 也應該列為年度盤點項目之一, 一旦 Private Key 換掉, 你的 CSR 勢必要重新產生才能申請新憑證....

混水摸魚 iT邦研究生 5 級 ‧ 2021-01-21 17:57:02 檢舉

了解,為了安全性還是不要偷懶重新產生csr才是王道。

我要發表回答

立即登入回答