Кілька SSL-сертифікатів для одного домену на різних серверах

На нашому веб-сайті розміщена хостинг-компанія HA під доменом D на спільному плані хостингу. Я хотів би переключити наш хостинг-провайдер на компанію HB, і я готовий придбати для цього новий сертифікат SSL. Я явно не хочу перенести існуючий сертифікат, оскільки не маю доступу до сервера на HA.

Моє запитання: чи одночасно і HA, і HB можуть мати незалежний сертифікат для одного домену D?

Якщо так, чи буде новий сайт безперебійно працювати під SSL, як тільки я перейду домен на HB або мені доведеться якось "відреєстратор" сертифіката на HA, перш ніж я можу встановити новий на HB?

З болотним стандартним SSL це добре. HA надає старий сертифікат, дійсно підписаний, і клієнти, які використовують старий запис A з DNS і підключившись до цього сервера, продовжать приймати його. HB надасть новий сертифікат, а клієнти, які отримують новий запис A, підключаться до нього та приймають новий сертифікат. Вони можуть мирно співіснувати.

Однак, є деякі розширення SSL, які можуть зробити це більш складним. Плагіни веб-переглядача, такі як Certificate Patrol , які кешують SSL-сертифікати, позначать зміну, і якщо клієнт не пощастить отримати старий запис після перевірки нового (можливо, користувач перемістить ноутбук з роботи (старий DNS) на кіберкафе (новий DNS), потім повернутися до роботи), плагін буде бурчати.

У мене є спогад про іншу розподілену систему, яка дозволила багатьом користувачам уникнути атак сертифікації MITM, об'єднавши безліч переглядів клієнтів сертифіката на будь-якому сервері. Хоча зараз я не можу знайти посилання на нього, це, безумовно, спричинить проблеми з вашим сценарієм.

Але вони ще не дуже поширені, тому, напевно, буде все в порядку.

Цілком можливо мати два окремих сертифікати на те саме ім’я хоста одночасно. Наприклад, коли вам потрібно поновити сертифікат, ви хочете отримати новий сертифікат до того, як термін дії старого закінчиться, і ви не хочете, щоб старий сертифікат став недійсним до того, як ви встановите новий.

Як саме ви це зробите, буде залежати від ЦА, у якого ви придбали сертифікат. Я працював з Verisign; вони мали можливість замовити оновлений ("оновлений") сертифікат протягом 90 днів після закінчення терміну дії. Якщо ваш КА це робить, я б радив вам просто поновити свій сертифікат за умови, що ви знаходитесь в межах дозволеного строку. Це має ту перевагу, що старий сертифікат перестане працювати, коли термін його дії закінчиться.

В іншому випадку вам потрібно буде замовити новий сертифікат, який, ймовірно, замінить старий і таким чином позначить старий як недійсний (але оскільки більшість браузерів цього не перевіряє, він все одно буде працювати для більшості користувачів). Але ваш КА повинен бути в змозі проконсультувати вас, як діяти далі.