Mi certificado SSL ha caducado. Creé uno nuevo para mi dominio pero después de unos días. El certificado ahora está en línea y funcionando, pero hay un problema por parte de los usuarios. Cuando el certificado expiró, los usuarios a veces agregaron una "excepción permanente" para mi sitio web, por lo que cuando agregué un nuevo certificado, todavía tenían la excepción anterior y no vieron la nueva certificación cuando pasaron el mouse sobre el ícono de "candado" en mi sitio web.
Entonces, ¿hay alguna forma de hacer que los usuarios vuelvan a verificar el certificado o eliminen la excepción anterior de sus navegadores sin grandes opciones de configuración para ellos? ¿Quizás algún proceso automatizado?
Respuesta1
El nuevo certificado SSL, si está firmado por una autoridad certificadora de confianza, será válido tan pronto como se instale. Si los usuarios no ven el nuevo certificado en los navegadores, esto significa que el nuevo certificado no está instalado en el servidor, que hay un ataque MITM o que están accediendo al sitio equivocado.
El nuevo certificado podría no ser válido si:
- está firmado para el sitio equivocado (consulte los campos Asunto y Nombre alternativo del sujeto del certificado).
- está firmado por una CA en la que el navegador no confía
- no está en el período válido
- fue firmado para un propósito diferente (por ejemplo, firma de software, para una persona), etc...
Edit1: Para ver la información sobre el certificado actual tal como lo presenta el servidor web, puede ejecutar:
echo ""|openssl s_client -connect example.com:443|openssl x509 -text -noout