Mehrere SSL-Zertifikate für eine einzelne Domäne auf verschiedenen Servern

10

Unsere Website wird von der Hosting-Firma HA unter Domain D im Rahmen eines gemeinsamen Hosting-Plans gehostet. Ich möchte unseren Hosting-Anbieter auf Firma HB umstellen und bin bereit, zu diesem Zweck ein neues SSL-Zertifikat zu erwerben. Ich möchte das vorhandene Zertifikat ausdrücklich nicht migrieren, da ich auf HA keinen Zugriff auf den Server habe.

Meine Frage ist, ob sowohl HA als auch HB gleichzeitig ein unabhängiges Zertifikat für dieselbe Domäne D installieren können.

Wenn ja, funktioniert die neue Site unter SSL nahtlos, sobald ich die Domain auf HB umstelle, oder muss ich das Zertifikat auf HA irgendwie "aufheben", bevor ich ein neues auf HB installieren kann?

Manu
quelle

Antworten:

10

Mit Moor-Standard-SSL ist dies in Ordnung. HA stellt das alte Zertifikat mit gültiger Signatur bereit, und Clients, die den alten A-Eintrag vom DNS verwenden und eine Verbindung zu diesem Server herstellen, akzeptieren ihn weiterhin. HB stellt das neue Zertifikat bereit, und Clients, die den neuen A-Datensatz erhalten, stellen eine Verbindung her und akzeptieren das neue Zertifikat. Sie können friedlich zusammenleben.

Es gibt jedoch einige Erweiterungen für SSL, die dies möglicherweise schwieriger machen. Browser-Plugins wie Certificate Patrol , die SSL-Zertifikate zwischenspeichern, markieren die Änderung, und wenn der Client das Pech hat, den alten Datensatz nach der Validierung des neuen zu erhalten (möglicherweise verschiebt ein Benutzer einen Laptop von der Arbeit (altes DNS) nach ein Cybercafe (neues DNS), dann wieder an die Arbeit), murrt das Plugin.

Ich erinnere mich an ein anderes verteiltes System, mit dem mehrere Benutzer MITM-Zertifizierungsangriffe vermeiden konnten, indem sie die vielen Clientansichten des Zertifikats auf einem bestimmten Server zusammenfassten. Obwohl ich momentan keinen Hinweis darauf finden kann, würde dies definitiv Probleme mit Ihrem Szenario verursachen.

Aber diese sind noch nicht sehr verbreitet, also wirst du wahrscheinlich in Ordnung sein.

MadHatter
quelle
3

Es ist durchaus möglich, zwei separate Zertifikate für denselben Hostnamen gleichzeitig zu haben. Wenn Sie beispielsweise ein Zertifikat erneuern müssen, möchten Sie das neue Zertifikat erhalten, bevor das alte abläuft, und Sie möchten nicht, dass das alte Zertifikat ungültig wird, bevor Sie das neue installiert haben.

Wie Sie dies genau tun, hängt von der Zertifizierungsstelle ab, bei der Sie das Zertifikat gekauft haben. Ich habe mit Verisign gearbeitet. Sie hatten die Möglichkeit, innerhalb von 90 Tagen nach Ablauf ein aktualisiertes ("erneuertes") Zertifikat zu bestellen. Wenn Ihre Zertifizierungsstelle dies tut, würde ich Ihnen raten, Ihr Zertifikat einfach zu erneuern, sofern Sie sich innerhalb des zulässigen Zeitrahmens befinden. Dies hat den Vorteil, dass das alte Zertifikat nach Ablauf nicht mehr funktioniert.

Andernfalls müssten Sie ein neues Zertifikat bestellen, das wahrscheinlich das alte ersetzt und somit das alte als ungültig kennzeichnet (da die meisten Browser dies jedoch nicht überprüfen, funktioniert es für die meisten Benutzer weiterhin). Ihre Zertifizierungsstelle sollte Sie jedoch über das weitere Vorgehen beraten können.

Jenny D.
quelle