ใบรับรอง SSL หลายรายการสำหรับโดเมนเดียวบนเซิร์ฟเวอร์ที่แตกต่างกัน

เว็บไซต์ของเราโฮสต์โดย บริษัท โฮสติ้ง HA ภายใต้โดเมน D ในแผนการโฮสต์ที่ใช้ร่วมกัน ฉันต้องการเปลี่ยนผู้ให้บริการโฮสติ้งของเราเป็น HB ของ บริษัท และฉันยินดีที่จะซื้อใบรับรอง SSL ใหม่เพื่อวัตถุประสงค์ดังกล่าว ฉันไม่ต้องการโยกย้ายใบรับรองที่มีอยู่อย่างชัดเจนเพราะฉันไม่สามารถเข้าถึงเซิร์ฟเวอร์บน HA

คำถามของฉันคือถ้าทั้ง HA และ HB พร้อมกันสามารถมีใบรับรองอิสระสำหรับโดเมน D เดียวกันได้หรือไม่

ถ้าเป็นเช่นนั้นไซต์ใหม่จะทำงานภายใต้ SSL ได้อย่างราบรื่นทันทีที่ฉันเปลี่ยนโดเมนเป็น HB หรือฉันต้อง "ยกเลิกการลงทะเบียน" ใบรับรองบน ​​HA ก่อนที่ฉันจะสามารถติดตั้งใหม่บน HB ได้หรือไม่

ด้วย SSL มาตรฐาน bog นี่เป็นเรื่องปกติ HA จัดเตรียมใบรับรองเก่าที่ลงชื่ออย่างถูกต้องและลูกค้าที่ใช้ระเบียน A เก่าจาก DNS และการเชื่อมต่อกับเซิร์ฟเวอร์นั้นจะยอมรับต่อไป HB จะให้ใบรับรองใหม่และลูกค้าที่ได้รับระเบียน A ใหม่จะเชื่อมต่อกับมันและยอมรับใบรับรองใหม่ พวกเขาสามารถอยู่ร่วมกันได้อย่างสงบสุข

ที่กล่าวว่ามีบางส่วนของ SSL ที่อาจทำให้ยุ่งยากมากขึ้น เบราว์เซอร์ปลั๊กอินเช่นCertificate Patrolซึ่งแคชใบรับรอง SSL จะตั้งค่าสถานะการเปลี่ยนแปลงและหากลูกค้าโชคไม่ดีพอที่จะรับบันทึกเก่าหลังจากตรวจสอบความถูกต้องใหม่แล้ว (ผู้ใช้อาจย้ายแล็ปท็อปจากที่ทำงาน (DNS เก่า) ไปยัง ไซเบอร์คาเฟ่ (DNS ใหม่) จากนั้นกลับสู่การทำงาน) ปลั๊กอินจะบ่น

ฉันมีความทรงจำเกี่ยวกับระบบกระจายอื่นที่อนุญาตให้ผู้ใช้หลายคนหลีกเลี่ยงการโจมตีของใบรับรอง MITM ด้วยการรวมมุมมองไคลเอนต์จำนวนมากของใบรับรองที่เห็นในเซิร์ฟเวอร์ใดก็ตาม ขณะที่ฉันไม่สามารถหาข้อมูลอ้างอิงได้ในตอนนี้สิ่งนี้จะทำให้เกิดปัญหากับสถานการณ์ของคุณอย่างแน่นอน

แต่สิ่งเหล่านี้ยังไม่ธรรมดานักดังนั้นคุณอาจจะโอเค

เป็นไปได้ทั้งหมดที่จะมีใบรับรองสองใบแยกกันสำหรับชื่อโฮสต์เดียวกันในเวลาเดียวกัน ตัวอย่างเช่นเมื่อคุณต้องการต่ออายุใบรับรองคุณจะต้องได้รับใบรับรองใหม่ก่อนที่ใบรับรองเก่าจะหมดอายุและคุณไม่ต้องการให้ใบรับรองเก่านั้นไม่ถูกต้องก่อนที่คุณจะติดตั้งใบรับรองใหม่

วิธีที่คุณทำเช่นนี้จะขึ้นอยู่กับ CA ที่คุณซื้อใบรับรอง ฉันทำงานกับ Verisign พวกเขามีตัวเลือกในการสั่งซื้อใบรับรอง ("ต่ออายุ") ที่ได้รับการปรับปรุงภายใน 90 วันนับจากเวลาหมดอายุ หาก CA ของคุณเป็นเช่นนั้นฉันขอแนะนำให้คุณต่ออายุใบรับรองโดยให้คุณอยู่ภายในกรอบเวลาที่อนุญาต นี่เป็นข้อดีที่ใบรับรองเก่าจะหยุดทำงานเมื่อหมดอายุ

มิฉะนั้นคุณจะต้องสั่งซื้อใบรับรองใหม่ซึ่งอาจแทนที่ใบรับรองเก่าและทำให้การตั้งค่าสถานะใบรับรองนั้นไม่ถูกต้อง (แต่เนื่องจากเบราว์เซอร์ส่วนใหญ่ไม่ได้ตรวจสอบว่ามันจะยังคงทำงานสำหรับผู้ใช้ส่วนใหญ่) แต่แคลิฟอร์เนียของคุณควรจะสามารถแนะนำคุณเกี่ยวกับวิธีการดำเนินการต่อไป