使用新私钥更新证书时,之前连接的浏览器会发生什么情况?旧证书会被缓存并且请求加密不正确吗?假设没有使用粘性会话,是否有可能在第 4 层运行多个负载平衡的服务器,其中一些具有新证书和其他旧证书而不会导致连接失败?
问问题
651 次
1 回答
2
客户端通常不缓存 SSL/TLS 证书。仅当您使用“HTTP 的公钥固定扩展 (HPKP)”客户端时,才会缓存并检查提供的证书(或者确切地说是该证书的某些属性)。为了更改证书,HPKP 可以“允许”多个证书(例如,一个旧证书和一个新证书)。
关于负载均衡器:如果它们在 osi 第 4 层上工作,我假设它们在 TCP 级别上工作。因此,平衡器后面的每个服务器都会建立自己的 SSL/TLS 会话。如果会话没有在服务器之间共享,那么如果不是所有服务器都使用相同的证书,那么就不应该出现问题事件——只要所有证书都是有效的。客户端可以在启动 SSL/TLS 连接时提供 SSL/TLS 会话 ID,但服务器决定会话是否已知。因此,如果客户端引用来自不同服务器的会话,则不会发生任何坏事,客户端和服务器只需建立一个新会话。
于 2016-03-31T11:06:18.407 回答