Wiele certyfikatów SSL dla jednej domeny na różnych serwerach

Nasza strona internetowa jest hostowana przez firmę hostingową HA w domenie D na wspólnym planie hostingowym. Chciałbym zmienić naszego dostawcę usług hostingowych na firmę HB i jestem gotów w tym celu kupić nowy certyfikat SSL. Wyraźnie nie chcę migrować istniejącego certyfikatu, ponieważ nie mam dostępu do serwera na HA.

Moje pytanie brzmi, czy zarówno HA, jak i HB mogą jednocześnie posiadać niezależny certyfikat dla tej samej domeny D?

Jeśli tak, to czy nowa witryna będzie działała bezproblemowo w ramach protokołu SSL, jak tylko przerzucę domenę na HB, czy też muszę jakoś „wyrejestrować” certyfikat na HA, zanim będę mógł zainstalować nowy na HB?

W przypadku standardowego protokołu SSL jest to w porządku. HA udostępnia stary, poprawnie podpisany stary certyfikat, a klienci używający starego rekordu A z DNS i łączący się z tym serwerem będą go nadal akceptować. HB dostarczy nowy certyfikat, a klienci otrzymujący nowy rekord A połączą się z nim i zaakceptują nowy certyfikat. Mogą pokojowo współistnieć.

To powiedziawszy, istnieją pewne rozszerzenia SSL, które mogą sprawić, że będzie to trudniejsze. Wtyczki do przeglądarki, takie jak Patrol certyfikatów , który buforuje certyfikaty SSL, oflagują zmianę, a jeśli klient nie będzie wystarczająco pechowy, aby uzyskać stary rekord po sprawdzeniu nowego (być może użytkownik przeniesie laptopa z pracy (stary DNS) do cyberkafe (nowy DNS), a następnie z powrotem do pracy), wtyczka będzie narzekać.

Mam wspomnienie o innym systemie rozproszonym, który pozwolił wielu użytkownikom uniknąć ataków certyfikacyjnych MITM poprzez połączenie wielu widoków klienta certyfikatu widocznych na danym serwerze. Chociaż nie mogę teraz znaleźć odniesienia do tego, z pewnością spowodowałoby to problemy w twoim scenariuszu.

Ale nie są to jeszcze bardzo powszechne, więc prawdopodobnie będziesz w porządku.

Całkowicie możliwe jest posiadanie dwóch osobnych certyfikatów dla tej samej nazwy hosta w tym samym czasie. Na przykład, gdy musisz odnowić certyfikat, chcesz uzyskać nowy certyfikat przed wygaśnięciem starego i nie chcesz, aby stary certyfikat utracił ważność przed zainstalowaniem nowego.

Dokładnie, jak to zrobisz, będzie zależeć od urzędu certyfikacji, od którego kupiłeś certyfikat. Pracowałem z Verisign; mieli możliwość zamówienia zaktualizowanego („odnowionego”) certyfikatu w ciągu 90 dni od upływu terminu ważności. Jeśli Twój urząd certyfikacyjny to zrobi, radzę po prostu odnowić certyfikat, pod warunkiem, że dotrzymasz terminów. Ma to tę zaletę, że stary certyfikat przestanie działać po wygaśnięciu.

W przeciwnym razie należy zamówić nowy certyfikat, który prawdopodobnie zastąpi stary, a tym samym oznacz stary jako nieważny (ale ponieważ większość przeglądarek tego nie sprawdza, nadal będzie działać dla większości użytkowników). Ale twój CA powinien być w stanie doradzić ci, jak postępować.