Как облегчить процесс продления SSL сертификата для клиентов? [закрыто]

Вопрос или проблема

Мы используем CloudFlare с Universal SSL, который автоматизирует обновление SSL-сертификатов для нас, с периодом действия 90 дней, как рекомендовано, и 15-дневным окном «перекрытия».

Насколько я знаю, фактически настроен только один сертификат (я не совсем понимаю смысл окна перекрытия), поэтому клиент может получить недавно выпущенный сертификат.

Однако у нас есть клиенты, которые, по наследственным причинам, не имеют недавнего корневого сертификата и им нужно «вручную» доверять нашему сертификату каждый раз, когда он меняется, что нарушает их интеграции в это время.

Я уверен, что должны быть «лучшие практики» для предоставления решения, но я не смог их найти.

Обратите внимание, что мы не хотим увеличивать срок действия только для этого клиента и поддерживать актуальные лучшие практики SSL-сертификатов.

Насколько я знаю, мы, вероятно, не можем проверить с чем-то вроде openssl, чтобы получить текущий и обновленный сертификат и сказать «ок, текущий сертификат действителен до x дней, вы уже сгенерировали новый сертификат, который также действителен, предоставьте его мне, и я вам доверю».

Какие-нибудь подсказки?

Вариант а: они доверяют вашему корневому сертификату.

Вариант 2: вы используете корневой ЦС, которому они доверяют.

Также возможно, что вы неправильно поняли клиента. Возможно, они не доверяют корневому сертификату. В этой ситуации единственным приемлемым вариантом является использование ЦС, которому клиент доверяет. Не доверять ЦС или даже большинству ЦС совершенно допустимо. Соответствующим ответом является признание этого и присуждение этого как основного требования.

Стоит отметить, что этот поставщик, Cloudflare, сотрудничает с несколькими центрами сертификации. Let’s Encrypt, SSL.com и Google. Google может перекрестно подписывать сертификаты с центром сертификации GlobalSign, который доступен уже 20 лет.

Это означает, что этот сервис имеет самое широкое покрытие для систем и платформ, которые включают известные общественные ЦС, и количество недоверяемых ситуаций, таких как ваша, должно быть минимальным и, вероятно, следствием более высоких уровней безопасности.

https://developers.cloudflare.com/ssl/reference/certificate-authorities/

Остается только добавить это как пункт для проверки во время тестирования операционной готовности.

Ответ или решение

Для упрощения процесса продления SSL-сертификата для клиентов следует рассмотреть ряд стратегий и лучших практик. Данная задача может быть особенно актуальной для организаций, которые используют CloudFlare с Universal SSL. Прежде всего, стоит отметить, что современная практика использования SSL-сертификатов подразумевает период их действия в течение 90 дней, что связано с усилением безопасности. Тем не менее, это может вызывать сложности у некоторых клиентов, у которых устарели корневые сертификаты, и которые вынуждены вручную доверять новым сертификатам, тем самым прерывая интеграции.

Теория

Основной принцип работы SSL-сертификатов заключается в подтверждении подлинности веб-сайтов с помощью криптографических методов. В основе этого лежат доверенные корневые сертификаты, которые хранятся в системах пользователей. Проблема возникает, когда у клиентов отсутствуют обновления этих корневых сертификатов, что может привести к ошибкам и необходимости вручную доверять новым сертификатам.

Автоматизация и упрощение этого процесса требует анализа и понимания всей цепочки доверия: от корневых сертификатов до непосредственно сертификатов сайта.

Пример

Рассмотрим пример. Компания использует Cloudflare, которая автоматически продлевает SSL-сертификаты. Cloudflare использует различные доверенные центры сертификации, такие как Let’s Encrypt и GlobalSign, которые имеют высокую степень доверия и широкое признание. Однако, если у клиента проблемы с доверием к корневому сертификату, возникает необходимость ручного вмешательства для доверия к новому сертификату.

Приложение

Обучение клиентов и оповещение: Создайте подробные инструкции для клиентов, объясняющие, как обновлять или устанавливать доверие к новым корневым сертификатам. Необходимо предусмотреть оповещения о том, когда истекает срок действия текущего сертификата и когда будет произведено его обновление.
Интеграция и тестирование: Включите проверку работы с SSL-сертификатами в стандартные процедуры тестирования системы на готовность к эксплуатации. Это позволит выявить потенциальные проблемы до момента их возникновения в эксплуатации.
Пояснение и документация: Объясните клиентам важность доверенных корневых сертификатов и предложите варианты их обновления. В случае, если обновления невозможны, ведите диалог с клиентами о возможных вариантах использования другого удостоверяющего центра, который клиент уже доверяет.
Альтернативные решения: Рассмотрите возможность внедрения других стандартов и решений, таких как установка собственного удостоверяющего центра или использование альтернативных цепочек доверия, которые могли бы быть приняты клиентами.
Совместимость и адаптация: Убедитесь, что используемая вами платформа, в данном случае Cloudflare, настраивается так, чтобы учитывать кейсы клиентов с устаревшими конфигурациями. Например, возможно, можно внедрить процесс, который проверяет и автоматически уведомляет клиентов о необходимости обновлений.
Использование признанных удостоверяющих центров: В случае невозможности автоматизации перечисленных процессов, предложите использовать другие удостоверяющие центры, сертификаты которых изначально установлены в системах клиентов. Это может снизить число доверенных сертификатов, нуждающихся в ручном доверии.

Таким образом, чтобы упростить процесс продления SSL-сертификата и устранить возникающее недоверие к новым сертификатам, важно внедрить комплексный подход, который включает автоматизацию процесса, обучение клиентов, тестирование систем на готовность и учет специфических потребностей клиентов. Благодаря этому возможным станет не только упрощение процесса продления сертификатов, но и улучшение общего взаимодействия между организациями и их клиентами.