Più certificati SSL per un singolo dominio su server diversi

Il nostro sito Web è ospitato dalla società di hosting HA nel dominio D su un piano di hosting condiviso. Vorrei passare il nostro fornitore di hosting alla società HB e sono disposto ad acquistare un nuovo certificato SSL a tale scopo. Non voglio esplicitamente migrare il certificato esistente, perché non ho accesso al server su HA.

La mia domanda è se sia HA che HB possono avere contemporaneamente un certificato indipendente per lo stesso dominio D installato?

In tal caso, il nuovo sito funzionerà perfettamente con SSL non appena passerò il dominio su HB o dovrò "annullare la registrazione" del certificato su HA prima di poterne installare uno nuovo su HB?

Con SSL standard bog, questo va bene. HA fornisce il vecchio certificato, validamente firmato, e i client che usano il vecchio record A dal DNS e si connettono a quel server continueranno ad accettarlo. HB fornirà il nuovo certificato e i clienti che ottengono il nuovo record A si collegheranno ad esso e accetteranno il nuovo certificato. Possono coesistere pacificamente.

Detto questo, ci sono alcune estensioni a SSL che potrebbero renderlo più complicato. Plugin del browser come Certificate Patrol , che memorizza nella cache i certificati SSL, segnalerà la modifica e se il client è abbastanza sfortunato da ottenere il vecchio record dopo aver convalidato quello nuovo (forse un utente sposterà un laptop dal lavoro (vecchio DNS) a un cybercafe (nuovo DNS), quindi di nuovo al lavoro), il plug-in si lamenterà.

Ho un ricordo di un altro sistema distribuito che ha permesso a più utenti di evitare attacchi di certificazione MITM mettendo in comune le numerose viste client del certificato viste su un determinato server. Anche se non riesco a trovare un riferimento ad esso in questo momento, questo sicuramente causerebbe problemi con il tuo scenario.

Ma questi non sono ancora molto comuni, quindi probabilmente starai bene.

È del tutto possibile avere due certificati separati per lo stesso nome host contemporaneamente. Ad esempio, quando è necessario rinnovare un certificato, si desidera ottenere il nuovo certificato prima che scada quello vecchio e non si desidera che il vecchio certificato divenga non valido prima di aver installato quello nuovo.

Esattamente come lo farai dipenderà dalla CA da cui hai acquistato il certificato. Ho lavorato con Verisign; avevano la possibilità di ordinare un certificato aggiornato ("rinnovato") entro 90 giorni dalla scadenza. Se la tua CA lo fa, ti consiglierei di rinnovare semplicemente il tuo certificato purché tu sia nei termini previsti. Ciò ha il vantaggio che il vecchio certificato smetterà di funzionare quando scade.

Altrimenti, è necessario ordinare un nuovo certificato che probabilmente sostituirà quello vecchio e quindi contrassegnare quello vecchio come non valido (ma poiché la maggior parte dei browser non lo verifica, funzionerebbe comunque per la maggior parte degli utenti). Ma la tua CA dovrebbe essere in grado di consigliarti su come procedere.