Наш веб-сайт размещен на хостинговой компании HA в домене D по плану виртуального хостинга. Я хочу переключить нашего хостинг-провайдера на компанию HB, и я готов приобрести новый сертификат SSL для этой цели. Я явно не хочу переносить существующий сертификат, потому что у меня нет доступа к серверу на HA.
Мой вопрос: могут ли одновременно и HA, и HB иметь независимый сертификат для одного и того же домена D?
Если да, то будет ли новый сайт без проблем работать под SSL, как только я переключу домен на HB, или мне нужно как-то «отменить регистрацию» сертификата на HA, прежде чем я смогу установить новый на HB?
Со стандартным SSL это нормально. HA предоставляет старый сертификат, правильно подписанный, и клиенты, использующие старую запись A из DNS и подключающиеся к этому серверу, будут продолжать принимать ее. HB предоставит новый сертификат, и клиенты, получающие новую запись A, подключатся к нему и примут новый сертификат. Они могут мирно сосуществовать.
Тем не менее, есть некоторые расширения SSL, которые могут сделать это более сложным. Плагины браузера, такие как Сертификационный патруль, которые кэшируют сертификаты SSL, будут отмечать изменение, и если клиенту не повезло получить старую запись после проверки новой (возможно, пользователь переместит портативный компьютер с работы (старый DNS) в киберкафе (новый DNS ), потом вернемся к работе), плагин будет ворчать.
У меня есть воспоминания о другой распределенной системе, которая позволяла нескольким пользователям избегать атак сертификации MITM, объединяя множество клиентских представлений сертификата, видимого на любом данном сервере. Хотя я не могу найти ссылку на него прямо сейчас, это определенно вызовет проблемы с вашим сценарием.
Но это пока не очень распространено, так что с вами, вероятно, все будет хорошо.
Вполне возможно иметь два отдельных сертификата для одного и того же имени хоста одновременно. Например, когда вам нужно обновить сертификат, вы захотите получить новый сертификат до истечения срока действия старого, и вы не хотите, чтобы старый сертификат стал недействительным до того, как вы установили новый.
То, как именно вы это сделаете, будет зависеть от ЦС, у которого вы купили сертификат. Я работал с Verisign; у них была возможность заказать обновленный («обновленный») сертификат в течение 90 дней после истечения срока его действия. Если ваш центр сертификации делает это, я бы посоветовал вам просто обновить свой сертификат, если вы уложитесь в отведенные сроки. Это имеет то преимущество, что старый сертификат перестанет работать по истечении срока его действия.
В противном случае вам нужно будет заказать новый сертификат, который, скорее всего, заменит старый и, таким образом, пометит старый как недействительный (но, поскольку большинство браузеров не проверяют это, он все равно будет работать для большинства пользователей). Но ваш центр сертификации должен посоветовать вам, как действовать дальше.