目前,我們對託管在 300 台伺服器上的 example.com 網域使用標準 SSL 憑證。當有人請求時https://example.com,其中一台伺服器會處理該請求。
現在,我們希望將 SSL 憑證從標準升級為保護多個子網域的憑證。我們的註冊商 GoDaddy 通知我們,我們需要取消目前證書,並頒發新證書。
現在,一旦新的伺服器發給我們,我們大約需要10天的時間才能在300台伺服器上更換舊的伺服器。在這 10 天內,如果我們的使用者要求https://example.com並且仍然具有舊憑證的伺服器服務該請求,那麼使用者的瀏覽器上會顯示什麼?
使用者會看到無效證書錯誤嗎?
筆記:為了平息所有的反對,之所以需要 10 天來更新 300 多個伺服器,是因為我的伺服器部署在私人巴士、火車和飛機上,並且它們透過離線熱點來服務請求。他們可能會在幾天內不連接互聯網的情況下滿足多個請求。因此,根據我們上次的更新速度,我大約需要 10 天才能更新所有這些內容。
答案1
撇開您有 300 台伺服器 (!!!) 的事實不談,而且您似乎說該過程不是自動化的,因此需要 10 天 (!!!) 才能完成,GoDaddy 所描述的場景似乎不合理。 筆記:現在評論無關緊要,因為 10 天後的 300 台伺服器的上下文更加清晰;移動/零星連接的伺服器的物流是有意義的。
是的,如果您想建立新證書,請使用舊的 SSL 證書應該被撤銷(又稱:取消)。但根據我的經驗,SSL 憑證不必立即被撤銷,因為新的 SSL 憑證已經頒發。您可能需要向 GoDaddy 再次確認此事。
此外,SSL 憑證、註冊商和託管服務是 3 個不同的東西。有時,註冊商會堅持他們是唯一可以為其註冊的網域頒發 SSL 憑證的人。但您幾乎可以從任何提供 SSL 證書的人那裡獲得 SSL 證書,然後將其用於您當前的伺服器,不會出現任何問題。
如果 GoDaddy 確實對此感到煩惱,我建議您從其他來源取得 SSL 憑證。
這樣,您就可以在 300 台伺服器上分階段引入新的 SSL 證書,同時保留舊的 SSL 證書。然後,當您完成轉換後,正式撤銷舊證書,這樣您就完成了。