SSL 证书续订时的私钥更改
Private key change on SSL certificate renewal
使用新私钥续订证书时,之前连接的浏览器会发生什么情况?旧证书会不会被缓存,请求加密不正确?假设没有使用粘性会话,是否有可能 运行 多台服务器在第 4 层进行负载平衡,其中一些服务器具有新证书而另一些服务器具有旧证书,而不会导致连接失败?
客户端通常不会缓存 SSL/TLS 证书。仅当您使用 "Public Key Pinning Extension for HTTP (HPKP)" 客户端时才缓存并检查提供的证书(或者确切地说是该证书的某些属性)。为了更改证书,HPKP 可以 "allow" 多个证书(例如,一个旧的和一个新的)。
关于负载均衡器:如果它们在 osi 第 4 层上工作,我假设它们在 TCP 级别上工作。因此,平衡器后面的每个服务器都建立了自己的 SSL/TLS 会话。如果会话未在服务器之间共享,如果并非所有服务器都使用相同的证书,则不应出现问题事件 - 只要所有证书都有效。
客户端可以在启动 SSL/TLS 连接时提供 SSL/TLS 会话 ID,但服务器决定会话是否已知。因此,如果客户端引用来自不同服务器的会话,则不会发生什么坏事,客户端和服务器只是建立一个新会话。
使用新私钥续订证书时,之前连接的浏览器会发生什么情况?旧证书会不会被缓存,请求加密不正确?假设没有使用粘性会话,是否有可能 运行 多台服务器在第 4 层进行负载平衡,其中一些服务器具有新证书而另一些服务器具有旧证书,而不会导致连接失败?
客户端通常不会缓存 SSL/TLS 证书。仅当您使用 "Public Key Pinning Extension for HTTP (HPKP)" 客户端时才缓存并检查提供的证书(或者确切地说是该证书的某些属性)。为了更改证书,HPKP 可以 "allow" 多个证书(例如,一个旧的和一个新的)。
关于负载均衡器:如果它们在 osi 第 4 层上工作,我假设它们在 TCP 级别上工作。因此,平衡器后面的每个服务器都建立了自己的 SSL/TLS 会话。如果会话未在服务器之间共享,如果并非所有服务器都使用相同的证书,则不应出现问题事件 - 只要所有证书都有效。 客户端可以在启动 SSL/TLS 连接时提供 SSL/TLS 会话 ID,但服务器决定会话是否已知。因此,如果客户端引用来自不同服务器的会话,则不会发生什么坏事,客户端和服务器只是建立一个新会话。