Beberapa sertifikat SSL untuk satu domain pada server yang berbeda

Situs web kami dihosting oleh perusahaan hosting HA di bawah domain D pada paket hosting bersama. Saya ingin mengalihkan penyedia hosting kami ke perusahaan HB dan saya bersedia membeli sertifikat SSL baru untuk tujuan itu. Saya secara eksplisit tidak ingin memigrasi sertifikat yang ada, karena saya tidak memiliki akses ke server di HA.

Pertanyaan saya adalah apakah keduanya HA dan HB dapat secara bersamaan masing-masing memiliki sertifikat independen untuk domain D yang sama diinstal?

Jika demikian, apakah situs baru akan berfungsi dengan lancar di bawah SSL segera setelah saya mengalihkan domain ke HB atau apakah saya harus "membatalkan registrasi" sertifikat pada HA entah bagaimana sebelum saya dapat menginstal yang baru pada HB?

Dengan SSL standar rawa, ini tidak masalah. HA memberikan sertifikat lama, ditandatangani secara sah, dan klien yang menggunakan catatan A lama dari DNS dan menghubungkan ke server itu akan terus menerimanya. HB akan memberikan sertifikat baru, dan klien yang mendapatkan catatan A baru akan terhubung ke sana dan menerima sertifikat baru. Mereka dapat hidup berdampingan secara damai.

Yang mengatakan, ada beberapa ekstensi ke SSL yang mungkin membuat ini lebih rumit. Plugin browser seperti Certificate Patrol , yang menyimpan cache sertifikat SSL, akan menandai perubahan, dan jika klien kurang beruntung untuk mendapatkan catatan lama setelah memvalidasi yang baru (mungkin pengguna akan memindahkan laptop dari kantor (DNS lama) ke cybercafe (DNS baru), lalu kembali bekerja), plugin akan menggerutu.

Saya memiliki ingatan tentang sistem terdistribusi lain yang memungkinkan banyak pengguna untuk menghindari serangan sertifikasi MITM dengan menggabungkan banyak pandangan klien dari sertifikat yang terlihat di server mana pun. Sementara saya tidak dapat menemukan referensi untuk itu sekarang, ini pasti akan menyebabkan masalah dengan skenario Anda.

Tapi ini belum terlalu umum, jadi Anda mungkin akan baik-baik saja.

Sangat mungkin untuk memiliki dua sertifikat terpisah untuk nama host yang sama secara bersamaan. Misalnya, ketika Anda perlu memperbarui sertifikat, Anda ingin mendapatkan sertifikat baru sebelum yang lama berakhir, dan Anda tidak ingin sertifikat lama menjadi tidak valid sebelum Anda menginstal yang baru.

Cara Anda melakukan ini tergantung pada CA tempat Anda membeli sertifikat. Saya telah bekerja dengan Verisign; mereka memiliki opsi untuk memesan sertifikat yang diperbarui ("diperbarui") dalam waktu 90 hari dari waktu kedaluwarsa. Jika CA Anda melakukan itu, saya akan menyarankan Anda untuk memperbarui sertifikat Anda asalkan Anda berada dalam jangka waktu yang diizinkan. Ini memiliki keuntungan bahwa sertifikat lama akan berhenti berfungsi saat kadaluwarsa.

Jika tidak, Anda perlu memesan sertifikat baru yang kemungkinan akan menggantikan yang lama dan dengan demikian menandai yang lama sebagai tidak valid (tetapi karena sebagian besar peramban tidak memeriksanya, itu masih berfungsi untuk sebagian besar pengguna). Tetapi CA Anda harus dapat memberi tahu Anda tentang cara melanjutkan.