Nhiều chứng chỉ SSL cho một tên miền trên các máy chủ khác nhau

Trang web của chúng tôi được lưu trữ bởi công ty lưu trữ HA theo tên miền D trên gói lưu trữ được chia sẻ. Tôi muốn chuyển nhà cung cấp dịch vụ lưu trữ của chúng tôi sang công ty HB và tôi sẵn sàng mua chứng chỉ SSL mới cho mục đích đó. Tôi rõ ràng không muốn di chuyển chứng chỉ hiện có, vì tôi không có quyền truy cập vào máy chủ trên HA.

Câu hỏi của tôi là nếu cả HA và HB có thể đồng thời có chứng chỉ độc lập cho cùng một miền D được cài đặt không?

Nếu vậy, trang web mới sẽ hoạt động trơn tru theo SSL ngay khi tôi chuyển tên miền sang HB hay tôi phải "hủy đăng ký" chứng chỉ trên HA bằng cách nào đó trước khi tôi có thể cài đặt một tên mới trên HB?

Với SSL tiêu chuẩn không có thật, điều này là tốt. HA cung cấp chứng chỉ cũ, được ký hợp lệ và các máy khách sử dụng bản ghi A cũ từ DNS và kết nối với máy chủ đó sẽ tiếp tục chấp nhận nó. HB sẽ cung cấp chứng chỉ mới và khách hàng nhận được bản ghi A mới sẽ kết nối với nó và chấp nhận chứng chỉ mới. Họ có thể hòa bình cùng tồn tại.

Điều đó nói rằng, có một số phần mở rộng cho SSL có thể làm cho điều này khó khăn hơn. Các plugin trình duyệt như Chứng nhận tuần tra , lưu trữ chứng chỉ SSL, sẽ đánh dấu sự thay đổi và nếu khách hàng không may nhận được bản ghi cũ sau khi xác thực bản mới (có lẽ người dùng sẽ chuyển máy tính xách tay từ nơi làm việc (DNS cũ) sang một cybercafe (DNS mới), sau đó hoạt động trở lại), plugin sẽ càu nhàu.

Tôi có một hồi ức về một hệ thống phân tán khác cho phép nhiều người dùng tránh các cuộc tấn công chứng nhận MITM bằng cách gộp nhiều lượt xem của chứng chỉ khách hàng nhìn thấy tại bất kỳ máy chủ nào. Mặc dù tôi không thể tìm thấy tài liệu tham khảo về nó ngay bây giờ, nhưng điều này chắc chắn sẽ gây ra vấn đề với kịch bản của bạn.

Nhưng những điều này chưa thực sự phổ biến, vì vậy có lẽ bạn sẽ ổn.

Hoàn toàn có thể có hai chứng chỉ riêng biệt cho cùng một tên máy chủ. Chẳng hạn, khi bạn cần gia hạn chứng chỉ, bạn sẽ muốn lấy chứng chỉ mới trước khi chứng chỉ cũ hết hạn và bạn không muốn chứng chỉ cũ trở nên không hợp lệ trước khi bạn cài đặt chứng chỉ mới.

Chính xác cách bạn làm điều này sẽ phụ thuộc vào CA mà bạn đã mua chứng chỉ từ đó. Tôi đã làm việc với Verisign; họ có tùy chọn để đặt chứng chỉ cập nhật ("gia hạn") trong vòng 90 ngày kể từ khi hết hạn. Nếu CA của bạn làm điều đó, tôi khuyên bạn chỉ cần gia hạn chứng chỉ của mình với điều kiện bạn nằm trong khung thời gian cho phép. Điều này có lợi thế là chứng chỉ cũ sẽ ngừng hoạt động khi hết hạn.

Mặt khác, bạn sẽ cần phải đặt một chứng chỉ mới có khả năng thay thế chứng chỉ cũ và do đó đánh dấu chứng chỉ cũ là không hợp lệ (nhưng vì hầu hết các trình duyệt không kiểm tra điều đó, nên nó vẫn hoạt động với hầu hết người dùng). Nhưng CA của bạn sẽ có thể tư vấn cho bạn về cách tiến hành.