Несколько сертификатов SSL для одного домена на разных серверах

Наш веб-сайт размещен хостинговой компанией HA в домене D по плану общего хостинга. Я хотел бы переключить нашего хостинг-провайдера на компанию HB, и я готов приобрести новый сертификат SSL для этой цели. Я явно не хочу переносить существующий сертификат, потому что у меня нет доступа к серверу на HA.

У меня вопрос: могут ли оба HA и HB одновременно иметь независимый сертификат для одного и того же домена D?

Если да, будет ли новый сайт работать без проблем по протоколу SSL, как только я переключу домен на HB, или мне придется каким-то образом «разархивировать» сертификат на HA, прежде чем я смогу установить новый на HB?

С болотным стандартом SSL это нормально. HA предоставляет старый сертификат, достоверно подписанный, и клиенты, использующие старую запись A из DNS и подключающиеся к этому серверу, продолжат принимать ее. HB предоставит новый сертификат, и клиенты, получающие новую запись A, подключатся к нему и примут новый сертификат. Они могут мирно сосуществовать.

Тем не менее, есть некоторые расширения SSL, которые могут сделать это более сложным. Плагины для браузера, такие как Certificate Patrol , который кеширует SSL-сертификаты, отметят изменения, и если клиенту не повезло получить старую запись после проверки новой (возможно, пользователь переместит ноутбук с работы (старый DNS) в киберкафе (новый DNS), а затем вернуться к работе), плагин будет ворчать.

У меня есть воспоминания о другой распределенной системе, которая позволила нескольким пользователям избежать атак сертификации MITM, объединив множество клиентских представлений сертификата, видимых на любом данном сервере. Хотя сейчас я не могу найти ссылку на нее, это определенно вызовет проблемы с вашим сценарием.

Но они пока не очень распространены, поэтому вы, вероятно, будете в порядке.

Вполне возможно иметь два отдельных сертификата для одного и того же имени хоста одновременно. Например, когда вам нужно обновить сертификат, вы хотите получить новый сертификат до истечения срока действия старого, и вы не хотите, чтобы старый сертификат стал недействительным до того, как вы установили новый.

Как именно вы это сделаете, будет зависеть от центра сертификации, у которого вы купили сертификат. Я работал с Verisign; у них была возможность заказать обновленный («обновленный») сертификат в течение 90 дней после истечения срока действия. Если ваш центр сертификации сделает это, я бы посоветовал вам просто обновить свой сертификат, если вы находитесь в допустимые сроки. Преимущество этого заключается в том, что старый сертификат перестает работать после истечения срока его действия.

В противном случае вам нужно будет заказать новый сертификат, который, вероятно, заменит старый и, таким образом, пометит старый как недействительный (но, поскольку большинство браузеров этого не проверяют, он все равно будет работать для большинства пользователей). Но ваш CA должен быть в состоянии проконсультировать вас о том, как действовать.