SSL sertifikası yenilemesinde özel anahtar değiştirme

Question

Sertifikayı yeni bir özel anahtarla yenilerken, daha önce bağlanan tarayıcılarda ne olur? Eski sertifika önbelleğe alınacak ve şifrelenmiş olarak yanlış istenecek mi? Katman 4'te dengelenmiş birden fazla sunucu yükünü çalıştırmak mümkün olabilir, bunlardan bazıları yeni ve diğer eski sertifikalara sahip olmaksızın bağlantılara neden olmadan herhangi bir yapışkan oturum kullanılmadığı için bağlantılara neden olabilir mi?

Answer 1

İstemciler genellikle SSL/TLS sertifikalarını önbelleğe almaz. Yalnızca "HTTP için Genel Anahtar Sıkma Uzantısı (HPKP)" istemcisini kullanırsanız, istemci önbelleğe girer ve sağlanan sertifikayı (veya bu sertifikanın belirli özelliklerini tam olarak öğrenmek için) denetler. Sertifikayı değiştirmek için HPKP, birden çok sertifikaya "izin verebilir" (ör., Bir eski ve bir yeni).

Yük dengeleyiciyle ilgili olarak: Eğer osi katman 4 üzerinde çalışıyorlarsa, TCP düzeyinde çalıştıkları varsayılır. Bu nedenle, dengeleyicinin arkasındaki her sunucu kendi SSL/TLS oturumunu kurar. Oturumlar sunucular arasında paylaşılmazsa, tüm sertifikalar geçerli olmadığı sürece tüm sunucular aynı sertifikayı kullanmıyorsa bir sorun olayı olmamalıdır. İstemciler SSL/TLS bağlantısını başlatırken SSL/TLS oturum kimliği sağlayabilir, ancak oturumun bilinip bilinmediğine sunucu karar verir. Bu nedenle, istemci farklı bir sunucudan bir oturuma başvuruyorsa, kötü bir şey olmaz, istemci ve sunucu yeni bir oturum kurar.