我们的网站由托pipe公司HA根据共享托pipe计划在域D下托pipe。 我想将我们的主机提供商切换到公司HB,我愿意为此购买新的SSL证书。 我明确不想迁移现有的证书,因为我没有访问HA上的服务器。
我的问题是,如果HA和HB都可以同时拥有一个安装了相同域D的独立证书?
如果是这样,一旦我把域切换到HB,新的站点能够在SSL下无缝工作,或者我必须在HA上以某种方式“取消注册”证书,然后才能在HB上安装新的证书。
使用标准的SSL,这没问题。 HA提供旧的证书,有效签名,以及使用来自DNS的旧Alogging的客户端,并连接到该服务器将继续接受它。 HB将提供新证书,获得新Alogging的客户将连接到它并接受新证书。 他们可以和平共处。
也就是说,有一些SSL的扩展可能会使这个更棘手。 像Certificate Patrol这样的cachingSSL证书的浏览器插件将会标记这个改变,如果客户端在validation新的logging之后得到旧logging(也许用户将笔记本电脑从工作(旧的DNS)移动到一个网吧(新的DNS),然后回去工作),插件会发牢骚。
我想起了另一个分布式系统,它允许多个用户通过汇集在任何给定服务器上看到的证书的许多客户端视图来避免MITMauthentication攻击。 虽然我现在找不到它的参考,但这肯定会导致您的scheme出现问题。
但是这些还不是很常见,所以你可能会好的。
完全可以同时为同一主机名拥有两个单独的证书。 例如,当您需要更新证书时,您希望在旧证书过期之前获得新证书,并且您不希望旧证书在安装新证书之前变得无效。
您的具体做法取决于您从中购买证书的CA. 我曾与Verisign合作过; 他们可以select在到期后的90天内订购更新(“更新”)的证书。 如果你的CA这样做的话,我build议你只要更新你的证书,只要你在允许的时间内。 这样做的好处是旧证书在到期时将停止工作。
否则,您将需要订购一个新的证书,这个证书可能会replace旧的证书,从而将旧的证书标记为无效(但是由于大多数浏览器不检查这个证书,它仍然适用于大多数用户)。 但是您的CA应该能够就如何继续提供build议。