sha*_*oth 8 monitoring ssl ssl-certificate
最近 Windows Azure 存储 SSL 证书过期,这导致了很多问题。现在,任何用户都可以检索该证书,因此每个人都可能注意到它即将过期。
现在更换即将到期的证书的典型时间范围是多少?是到期前一个月还是到期前一周或任何其他时间?
换句话说,假设我正在验证第三方服务证书并看到它在 N 天后过期。如果我提前一天注意到它可能为时已晚 - 我需要时间联系服务所有者,他们需要时间重新颁发证书并更换它。如果我提前一个月注意到 - 现在发出警报可能还为时过早 - 也许服务所有者将稍后更换证书。
N 的值是多少,如果 SSL 证书将在 N 天后到期,则服务所有者很可能已经忘记了它的到期时间?何时更新即将到期的 SSL 证书的常见做法是什么?
恐怕最常见的做法是“过期了就争着换”……
但是,除了 Kormoc 列出的非常有用的信息之外,我强烈建议您使用会发送警报的供应商 - 并确保将这些警报发送到有人会实际查看的邮箱。如果您将其设置为公司内的个人地址,则该人可能会休假、生病甚至离开公司。相反,请确保您的地址是群组邮箱或可扩展到多人的邮件列表。
如果您有任何类型的监控系统,您还可以设置一个 cron 作业,例如每周运行一次,报告到期天数,并在天数低于某个值时开始提醒您。
我是监控系统的忠实粉丝。NAGIOS 的标准插件check_http会检查 SSL 证书是否过期,您可以将其设置为 WARNING 之前的某个时间,以及 CRITICAL 另一个更短的时间之前。所以我想我的第一条答案是不要让证书供应商或其他任何人负责通知您。拥有自己的自动化系统来执行此操作,并确保它在您确定应该完成时执行。
这些时间应该设置成什么?您知道将通知转换为有效的新生成的 CSR 需要多长时间,您的证书供应商需要多长时间来转换 CSR,以及安排停机时间以在每台服务器上安装新证书需要多长时间。将这三个时间加在一起,这是生成自动通知的最短时间;一个很好的 NAGIOS 临界阈值。
然后为假期、惯性等添加一个舒适的裕度,这是一个很好的警告阈值。就我而言,我为此增加了两周。
此外,如果服务故障对业务至关重要,则至少增加一周时间以避免这种情况发生。
最后一个提示,如果您只是使用沼泽标准 SSL 证书,并且您目前为它们支付了很多费用,请找一家更便宜的履行机构并购买期限更长的证书。不要错过 SSL 证书更新的最好方法是不要很快更新。
Comodo 在 60 天开始发出警报,http://www.instantssl.com/ssl-certificate-support/server_faq/ssl-certificate-renewals.html
GoDaddy 推荐 60,http://support.godaddy.com/help/article/864/renewing-your-ssl-certificate
Entrust推荐30个,http: //www.entrust.net/ssl-technical/renew_faq.cfm
其他的好像没有很容易找到的入手推荐
普遍似乎记录在 15 天标记之前续订。
| 归档时间: |
|
| 查看次数: |
1674 次 |
| 最近记录: |