使用新私钥续订证书时,之前连接的浏览器会发生什么?旧证书是否会被缓存并且请求加密不正确?是否有可能在第4层运行多个服务器负载均衡,其中一些服务器具有新证书和其他旧证书而不会导致连接失败,假设没有使用粘性会话?
答案 0 :(得分:2)
客户端通常不会缓存SSL / TLS证书。仅当您使用“HTTP的公钥固定扩展(HPKP)”客户端时,才会缓存并检查提供的证书(或者确切地说是该证书的某些属性)。为了更改证书,HPKP可以“允许”多个证书(例如一个旧证书和一个新证书)。
关于负载均衡器:如果它们在osi第4层上工作,我认为它们在TCP级别上工作。因此,平衡器后面的每个服务器都会建立自己的SSL / TLS会话。如果未在服务器之间共享会话,则如果并非所有服务器都使用相同的证书,则不应存在问题事件 - 只要所有证书都有效。 客户端可以在启动SSL / TLS连接时提供SSL / TLS会话ID,但服务器会确定会话是否已知。因此,如果客户端从不同的服务器引用会话,则不会发生任何不良情况,客户端和服务器只会建立新的会话。