Plusieurs certificats SSL pour un seul domaine sur différents serveurs

Notre site Web est hébergé par la société d'hébergement HA sous le domaine D sur un plan d'hébergement partagé. Je voudrais passer notre hébergeur à la société HB et je suis prêt à acheter un nouveau certificat SSL à cet effet. Je ne souhaite explicitement pas migrer le certificat existant, car je n'ai pas accès au serveur sur HA.

Ma question est de savoir si HA et HB peuvent avoir simultanément un certificat indépendant pour le même domaine D installé?

Si tel est le cas, le nouveau site fonctionnera-t-il de manière transparente sous SSL dès que je basculerai le domaine vers HB ou dois-je "annuler l'inscription" du certificat sur HA d'une manière ou d'une autre avant de pouvoir en installer un nouveau sur HB?

Avec SSL standard, c'est très bien. HA fournit l'ancien certificat, valablement signé, et les clients utilisant l'ancien enregistrement A du DNS et se connectant à ce serveur continueront de l'accepter. HB fournira le nouveau certificat et les clients obtenant le nouvel enregistrement A s'y connecteront et accepteront le nouveau certificat. Ils peuvent coexister pacifiquement.

Cela dit, certaines extensions de SSL peuvent rendre cela plus difficile. Les plugins de navigateur comme Certificate Patrol , qui mettent en cache les certificats SSL, signaleront la modification, et si le client n'a pas la chance d'obtenir l'ancien enregistrement après avoir validé le nouveau (peut-être qu'un utilisateur déplacera un ordinateur portable du travail (ancien DNS) vers un cybercafé (nouveau DNS), puis retour au travail), le plugin grommellera.

Je me souviens d'un autre système distribué qui a permis à plusieurs utilisateurs d'éviter les attaques de certification MITM en regroupant les nombreuses vues client du certificat vues sur un serveur donné. Bien que je ne puisse pas trouver de référence pour le moment, cela entraînerait très certainement des problèmes avec votre scénario.

Mais ceux-ci ne sont pas encore très courants, alors vous serez probablement d'accord.

Il est tout à fait possible d'avoir deux certificats distincts pour le même nom d'hôte en même temps. Par exemple, lorsque vous devez renouveler un certificat, vous voudrez obtenir le nouveau certificat avant l'expiration de l'ancien et vous ne voulez pas que l'ancien certificat devienne invalide avant d'avoir installé le nouveau.

La façon exacte de procéder dépendra de l'autorité de certification auprès de laquelle vous avez acheté le certificat. J'ai travaillé avec Verisign; ils avaient la possibilité de commander un certificat mis à jour ("renouvelé") dans les 90 jours suivant la date d'expiration. Si votre autorité de certification le fait, je vous conseille de simplement renouveler votre certificat à condition que vous respectiez le délai imparti. Cela a l'avantage que l'ancien certificat cessera de fonctionner à son expiration.

Sinon, vous devrez commander un nouveau certificat qui remplacerait probablement l'ancien et marquerait donc l'ancien comme invalide (mais comme la plupart des navigateurs ne vérifient pas cela, cela fonctionnerait toujours pour la plupart des utilisateurs). Mais votre CA devrait pouvoir vous conseiller sur la façon de procéder.