Vários certificados SSL para um único domínio em diferentes servidores

Navegue suas respostas
9

Nosso site é hospedado pela empresa de hospedagem HA no domínio D em um plano de hospedagem compartilhada. Eu gostaria de mudar nosso provedor de hospedagem para a empresa HB e estou disposto a comprar um novo certificado SSL para essa finalidade. Eu explicitamente não quero migrar o certificado existente, porque eu não tenho acesso ao servidor em HA.

Minha pergunta é se tanto o HA quanto o HB podem ter simultaneamente um certificado independente para o mesmo domínio D instalado?

Em caso afirmativo, o novo site funcionará perfeitamente com SSL assim que eu alternar o domínio para o HB ou será preciso "cancelar o registro" do certificado no HA antes de instalar um novo no HB?

    
por Manu 23.07.2013 / 12:31

2 respostas

9

Com SSL padrão, isso é bom. O HA fornece o certificado antigo, assinado validamente, e os clientes que usam o registro A antigo do DNS e se conectam a esse servidor continuarão a aceitá-lo. A HB fornecerá o novo certificado e os clientes que receberem o novo registro A se conectarão a ele e aceitarão o novo certificado. Eles podem coexistir pacificamente.

Dito isso, há algumas extensões para SSL que podem tornar isso mais complicado. Os plug-ins do navegador, como o Certificate Patrol , que armazenam em cache os certificados SSL, sinalizam a alteração, e se o cliente tiver o azar de obter o antigo registro depois de ter validado o novo (talvez um usuário mova um laptop do trabalho (DNS antigo) para um cibercafé (novo DNS) e depois volte ao trabalho), o plug-in resmunga .

Eu tenho uma lembrança de outro sistema distribuído que permitiu que vários usuários evitassem ataques de certificação MITM agrupando as muitas visualizações de clientes do certificado vistas em qualquer servidor. Embora eu não consiga encontrar uma referência agora, isso definitivamente causaria problemas em seu cenário.

Mas isso não é muito comum ainda, então você provavelmente ficará bem.

    
por 23.07.2013 / 12:43
3

É perfeitamente possível ter dois certificados separados para o mesmo nome de host ao mesmo tempo. Por exemplo, quando você precisa renovar um certificado, você deseja obter o novo certificado antes que o antigo expire e não deseja que o certificado antigo se torne inválido antes de instalar o novo.

Exatamente como você faz isso dependerá da CA da qual você comprou o certificado. Eu trabalhei com a Verisign; eles tinham a opção de solicitar um certificado atualizado ("renovado") dentro de 90 dias do tempo de expiração. Se a sua AC fizer isso, aconselho-o a simplesmente renovar o seu certificado, desde que esteja dentro do prazo permitido. Isso tem a vantagem de o certificado antigo parar de funcionar quando expira.

Caso contrário, você precisaria pedir um novo certificado que provavelmente substituiria o antigo e, assim, marcar o antigo como inválido (mas como a maioria dos navegadores não verifica isso, ainda funcionaria para a maioria dos usuários). Mas sua AC deve ser capaz de aconselhá-lo sobre como proceder.

    
por 23.07.2013 / 12:45

Tags

Detecção do gateway inativo no Windows 2008 Server Procurando uma boa documentação dos arquivos odbc.ini e odbcinst.ini no Linux