我们的网站由托管公司 HA 托管,托管在域 D 下的共享托管计划中。我想将我们的托管服务提供商切换为公司 HB,并愿意为此购买新的 SSL 证书。我明确不想迁移现有证书,因为我无权访问 HA 上的服务器。
我的问题是 HA 和 HB 是否可以同时为同一个域 D 安装各自的独立证书?
如果是这样,当我将域名切换到 HB 后,新网站是否可以在 SSL 下无缝运行,或者我是否必须以某种方式在 HA 上“取消注册”证书,然后才能在 HB 上安装新的证书?
答案1
使用标准 SSL,这没问题。HA 提供有效签名的旧证书,使用 DNS 中的旧 A 记录并连接到该服务器的客户端将继续接受它。HB 将提供新证书,获得新 A 记录的客户端将连接到它并接受新证书。它们可以和平共处。
尽管如此,SSL 的一些扩展可能会让事情变得更加棘手。浏览器插件如证书巡查,它缓存 SSL 证书,会标记出这一变化,如果客户端在验证了新记录后不幸得到了旧记录(也许用户将笔记本电脑从工作场所(旧 DNS)搬到网吧(新 DNS),然后再回去工作),插件就会发出抱怨声。
我记得另一个分布式系统,它允许多个用户通过汇集任何给定服务器上看到的证书的多个客户端视图来避免 MITM 认证攻击。虽然我现在找不到对它的引用,但这肯定会给您的场景带来问题。
但这些还不是很常见,所以你应该不会有事。
答案2
完全有可能同时为同一个主机名拥有两个单独的证书。例如,当您需要续订证书时,您希望在旧证书过期之前获取新证书,并且您不希望在安装新证书之前旧证书失效。
具体如何操作取决于您从哪个 CA 购买证书。我曾与 Verisign 合作过;他们可以选择在证书到期后 90 天内订购更新的(“续订”)证书。如果您的 CA 提供此服务,我建议您在允许的时间范围内续订证书。这样做的好处是旧证书在到期后将停止工作。
否则,您需要订购新证书,新证书可能会替换旧证书,从而将旧证书标记为无效(但由于大多数浏览器不会检查这一点,因此它仍适用于大多数用户)。但您的 CA 应该能够建议您如何继续。