当社のウェブサイトは、共有ホスティングプランのドメインDの下でホスティング会社HAによってホストされています。ホスティングプロバイダーをHB社に切り替えたいのですが、そのために新しいSSL証明書を購入したいと思っています。HA上のサーバーにアクセスできないため、既存の証明書を明示的に移行したくありません。
私の質問は、HAとHBの両方が同時に同じドメインDの独立した証明書をインストールできるかどうかです。
もしそうなら、ドメインをHBに切り替えるとすぐに、新しいサイトはSSLの下でシームレスに動作しますか、またはHBに新しい証明書をインストールする前に、HAの証明書を「登録解除」する必要がありますか?
回答:
バグ標準のSSLでは、これで問題ありません。HAは有効な署名付きの古い証明書を提供し、DNSからの古いAレコードを使用してそのサーバーに接続するクライアントは引き続きそれを受け入れます。HBは新しい証明書を提供し、新しいAレコードを取得するクライアントはそれに接続し、新しい証明書を受け入れます。彼らは平和的に共存することができます。
とはいえ、これをよりトリッキーにする可能性のあるSSLの拡張機能がいくつかあります。SSL証明書をキャッシュするCertificate Patrolのようなブラウザプラグインは、変更にフラグを立てます。また、クライアントが不幸な場合、新しいレコードを検証した後、古いレコードを取得できます(おそらく、ユーザーはラップトップを仕事(古いDNS)からサイバーカフェ(新しいDNS)に戻り、再び動作します)、プラグインは不平を言います。
任意のサーバーで見られる証明書の多くのクライアントビューをプールすることにより、複数のユーザーがMITM証明書攻撃を回避できるようにした別の分散システムの思い出があります。現時点でそれへの参照を見つけることはできませんが、これは間違いなくシナリオに問題を引き起こすでしょう。
しかし、これらはまだあまり一般的ではないので、おそらく大丈夫でしょう。
同じホスト名に対して2つの別々の証明書を同時に持つことは完全に可能です。たとえば、証明書を更新する必要がある場合、古い証明書の有効期限が切れる前に新しい証明書を取得し、新しい証明書をインストールする前に古い証明書を無効にしないようにします。
正確な方法は、証明書を購入したCAによって異なります。私はVerisignと協力してきました。有効期限から90日以内に更新された(「更新された」)証明書を注文するオプションがありました。CAがそれを行う場合は、許可された期間内であれば証明書を更新することをお勧めします。これには、古い証明書が期限切れになると機能しなくなるという利点があります。
それ以外の場合は、古い証明書を置き換える可能性が高い新しい証明書を注文し、古い証明書に無効のフラグを立てる必要があります(ただし、ほとんどのブラウザーはこれをチェックしないため、ほとんどのユーザーで機能します)。ただし、CAは続行方法についてアドバイスできるはずです。