Esta noche actualicé nuestro certificado TSL. Implementamos detrás de haproxy con un certificado incluido con una CA crt intermedia y una clave privada en formato de archivo .pem. Después de descargar el certificado renovado para nuestro dominio, creé un nuevo archivo .pem simplemente actualizando la parte correspondiente del archivo .pem del año anterior. Parece estar funcionando bien.
Sin embargo, noté en un correo electrónico que también se nos emitió un nuevo certificado de CA intermedio. ¿Necesito actualizar el archivo .pem para reflejar este nuevo certificado o puedo dejarlo como está? Como digo, parece estar funcionando bien, pero odiaría tener problemas en el futuro porque el antiguo certificado de CA intermedio caduca en un par de meses o algo similar.
Disculpas si esta es una pregunta estúpida. En realidad soy un desarrollador web junior incorporado a este tipo de administrador de servidor por necesidad... Muchas gracias de antemano.
EDITAR: Posiblemente relacionado: la última vez que verifiqué, nuestra configuración SSL obtuvo una A en Qualys, pero ahora solo obtiene una B, quejándose de que no puede verificar la cadena correctamente. Actualizaré a la nueva CA esta noche. No puedo votar a favor de un solo representante, pero muchas gracias a quienes se tomaron el tiempo de responder.
PUBLICAR EDICIÓN: Actualicé el certificado intermedio, pero no fue la fuente de mi problema con Qualys. Gracias de nuevo.
Respuesta1
En general, las CA intermedias rara vez cambian, pero es una buena práctica reemplazar el paquete de CA antiguo por el nuevo. Descargue el nuevo paquete y colóquelo encima del anterior, usando el mismo nombre. Deberá reiniciar haproxy y cualquier otra cosa que utilice el certificado.